Artykuły dotyczące tematu: Securlist.pl

dodany: 04.06.2013 | tagi: , ,

Spam w kwietniu 2013 r.

7

W kwietniu liczba niechcianych wiadomości e-mail zwiększyła się nieznacznie – o 2,1 punktu procentowego. Zmniejszył się natomiast poziom spamu „świątecznego”, mimo że spamerzy nadal aktywnie wykorzystywali temat Świąt Wielkanocy w celu rozprzestrzeniania oszukańczych e-maili i wiadomości zawierających reklamy towarów i usług. Ponadto, w celu przyciągnięcia uwagi użytkowników spamerzy wykorzystywali nazwiska światowych przywódców politycznych oraz tragiczne wydarzenia w Stanach Zjednoczonych.

Wydarzenia w Stanach Zjednoczonych a szkodliwy spam

Jak zwykle, uwadze spamerów nie umknęły najgorętsze newsy miesiąca. W kwietniu oszuści wykorzystali podwójne wybuchy bombowe podczas Maratonu Bostońskiego oraz eksplozję w zakładach chemicznych w Teksasie.

W ciągu kilku dni od wybuchów zarejestrowaliśmy w ruchu spamowym kilka masowych wysyłek zawierających szkodliwe pliki lub odsyłacze.

Wiadomości e-mail imitowały masowe wysyłki z popularnych serwisów informacyjnych (CNN i BBC) i zawierały prowokujący nagłówek oraz odsyłacz do rzekomego artykułu na temat tragicznych zdarzeń. Po kliknięciu odsyłacza użytkownik był przekierowywany na oszukańczą stronę, która wykorzystywała zestaw exploitów Blackhole 2 w celu przeprowadzania ataków na system. Jeżeli ataki powiodły się, na komputer użytkownika pobierany był Backdoor.Win32.Papras.ppk. Celem tego szkodliwego oprogramowania spyware jest kradzież informacji z zabezpieczonych połączeń za pośrednictwem przeglądarki (HTTPS), plików cookie, zrzutów ekranu i danych dotyczących komputera (zainstalowanych programów, konfiguracji systemu operacyjnego), a następnie przekazywanie ich cyberprzestępcom.

Oszustwa

W kwietniu „nigeryjscy” oszuści nadal wykorzystywali w swoich e-mailach nazwiska sławnych przywódców politycznych – tym razem Baraka Obamy i syna Muammara Kadafiego. Przykładem może być e-mail wysłany rzekomo w imieniu pracownika Białego Domu, informujący, że prezydent Stanów Zjednoczonych rozdaje 100 sztabek złota potrzebującym na całym świecie i odbiorca tej wiadomości jest jednym z wybranych. Z kolei niemieckojęzyczny „list nigeryjski” napisany w imieniu asystenta syna byłego prezydenta Libii Muammara Kadafiego to tradycyjna prośba o pomoc w uratowaniu i zainwestowaniu jego legendarnych milionów.

aprel2013_spamreport2013_pic03

Jest to dobrze znany rodzaj oszustwa: kiedy ofiara wkręci się już w korespondencję, oszuści proszą ją o stosunkowo niewielką kwotę na pokrycie wydatków związanych z usługami pośrednika lub sporządzeniem dokumentów. Spamerzy wierzą, że znaczna różnica pomiędzy wysokością żądanej kwoty a obiecywanej nagrody sprawi, że potencjalna ofiara straci głowę i prześle pieniądze.

Oszuści „nigeryjscy” próbowali zwrócić uwagę użytkowników nie tylko obietnicą „łatwych pieniędzy”, ale również poprzez wysyłanie pozdrowień wielkanocnych (o tym święcie wspominano w nagłówku e-maila oraz na początku wiadomości).

Temat wielkanocny wykorzystywały również tradycyjne fałszywe powiadomienia o wygranych na loterii rozprzestrzeniane w wiadomościach ze słowem „Wielkanoc” zawartym w temacie. Jedna z takich wiadomości zawierała odsyłacz do legalnej strony istniejącej firmy, która w rzeczywistości nie miała nic wspólnego z „loterią” zorganizowaną przez oszustów.

 

Spam świąteczny

Chociaż katolicy obchodzili już Wielkanoc, w kwietniu spamerzy nadal aktywnie wykorzystywali ten temat, oferując podrabiane towary i kredyty. Na przykład, jedna masowa wysyłka oferowała odbiorcom specjalny kod „wielkanocny”, który uprawniał ich do zakupu podróbek zegarków znanych projektantów z 50% zniżką.

W kwietniu ponownie zarejestrowano masowe wysyłki wykorzystujące Dzień Matki. Tak jak poprzednio, reklamowały kwiaty i podrabiane towary znanych projektantów. Z kolei inna wysyłka oferowała cygara w związku z nadchodzącym Dniem Ojca obchodzonym w Stanach Zjednoczonych.

 

Rozkład geograficzny źródeł spamu

W kwietniu nie nastąpiły żadne zmiany wśród 3 wiodących źródeł niechcianych wiadomości na świecie. Chiny (23,9%) utrzymały pierwsze miejsce mimo 2 proc. spadku udziału w spamie. Ilość spamu wysyłanego ze Stanów Zjednoczonych zmniejszyła się nieznacznie  (16,8%), przez co państwo to pozostało na 2 miejscu. Łącznie te dwa państwa wygenerowały 41% globalnego spamu.

 

Źródła spamu na świecie według państwa, kwiecień 2013

Źródła spamu na świecie według państwa, kwiecień 2013.

W kwietniu na trzecim miejscu znalazła się Korea Południowa (9,8%), która odnotowała wzrost o 1,5 punktu procentowego. W pierwszej piątce utrzymał się Tajwan (5,5%). Indie, które w marcu zajmowały 5 miejsce, straciły 0,5 punktu procentowego i spadły na 9 miejsce w rankingu (z 2,9% udziałem w całym rozprzestrzenionym spamie). Rosja (3,3%) zwiększyła swój wkład o 1 punkt procentowy i „awansowała” z 10 miejsca w marcu na 7. Niemcy odnotowały spadek o 1 punkt procentowy i przesunęły się w dół z 8 miejsca na 12. Włochy straciły 2,1 punktu procentowego i spadły z 6 pozycji na 14.

 

Źródła spamu w Europie według państwa, kwiecień 2013

Źródła spamu w Europie według państwa, kwiecień 2013.


W kwietniu główne źródło spamu wysyłanego do użytkowników europejskich stanowiła Korea Południowa (43,4%): jej udział zwiększył się o 6,6 punktu procentowego. Z kolei udział Chin znacząco zmniejszył się i wynosił 3,7%, przez co państwo to spadło z 2 miejsca na 5.

Stany Zjednoczone utrzymały się w pierwszej trójce, mimo że ich udział w spamie zmniejszył się o 3,4 punktu procentowego. Wietnam (5,2%) awansował z 5 miejsca na 3. Jednocześnie udział Włoch zmniejszył się trzykrotnie i państwo to spadło z 4 miejsca na 11 (1,9% spamu wysyłanego do użytkowników europejskich).

Źródła spamu według regionu, kwiecień 2013

Źródła spamu według regionu, kwiecień 2013.

Azja (55,7%) pozostała czołowym źródłem spamu według regionu. Podobnie jak w marcu, w pierwszej trójce znalazła się również Ameryka Północna (17,6%) i Europa Wschodnia (13,6%).

 

Szkodliwe załączniki w wiadomościach e-mail

W kwietniu szkodliwe załączniki zostały wykryte w 2,4% wiadomości e-mail, co stanowi spadek o 1,6 punktu procentowego w stosunku do marca.

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail, kwiecień 2013

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail, kwiecień 2013.

W kwietniu Trojan-Spy.html.Fraud.gen pozostał najbardziej rozpowszechnionym szkodliwym programem. Szkodnik ten występuje w postaci stron HTML, które imitują formularze rejestracyjne znanych banków lub systemów e-płatności i są wykorzystywane przez phisherów w celu kradzieży danych uwierzytelniających do systemów bankowości online.

Na drugim miejscu znalazł się Email-Worm.Win32.Bagle.gt. Funkcjonalność tego robaka pocztowego polega na samodzielnym rozprzestrzenianiu się na adresy zawarte w książce adresowej ofiary, co jest typowym działaniem dla tego rodzaju szkodliwego oprogramowania. Szkodnik ten potrafi również kontaktować się z centrum kontroli i pobierać inne szkodliwe programy na komputer użytkownika.

Na trzecim miejscu znalazł się Backdoor.Win32.Androm.pta. Ta rodzina backdoorów pozwala szkodliwym użytkownikom ukradkiem kontrolować zainfekowany komputer, np. w celu pobrania i uruchomienia innych szkodliwych plików, które następnie wysyłają dane z zainfekowanego komputera itd. Ponadto, wiele komputerów zainfekowanych przez backdoory stało się częścią botnetu. W 2013 roku przedstawiciele rodziny Backdoor.Win32.Androm często pojawiały się w pierwszej dziesiątce – powodem tego były najprawdopodobniej próby stworzenia nowych botnetów.

Na czwartym miejscu znajduje się Trojan-PSW.Win32.Tepfer.hjva, stworzony w celu kradzieży haseł do kont użytkowników.

Piątą, ósmą i dziewiąta pozycję w rankingu zajmują szkodliwe programy z rodziny Trojan.win32.Bublik.aknd. Szkodniki te przechwytują hasła użytkowników do FTP, dane uwierzytelniające korzystanie z serwisów poczty e-mail oraz certyfikaty z zainfekowanych komputerów. Trojan ten potrafi przeszukiwać formularze w przeglądarkach Mozilla Firefox i Google Chrome w poszukiwaniu zapisanych loginów i haseł, a następnie przesyłać znalezione dane oszustom.

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa, kwiecień 2013

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa, kwiecień 2013.

 

Stany Zjednoczone (12,4%) i Niemcy (10,7%) utrzymały prowadzenie w rankingu państw najczęściej atakowanych przez szkodniki krążące w wiadomościach e-mail. W kwietniu dołączyła do nich Wielka Brytania (6,8%), która uplasowała się na trzecim miejscu. Pozostałe państwa z pierwszej dziesiątki zachowały swoje pozycje z marca.

W kwietniu spamerzy aktywnie wykorzystywali nazwę międzynarodowej firmy logistycznej DHL w celu rozprzestrzeniania fałszywych powiadomień zawierających szkodliwe załączniki. Odnotowaliśmy kilka takich masowych wysyłek w języku angielskim i holenderskim.

 

Phishing

Odsetek wiadomości phishingowych zmniejszył się trzykrotnie w porównaniu z marcem do 0,002%.

Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów według kategorii

Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów według kategorii.

 

Powyższy ranking opiera się na danych pochodzących z technologii antyphishingowej firmy Kaspersky Lab aktywowanej za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz ten znajduje się w wiadomości spamowej, czy na stronie internetowej.

W kwietniu wśród 5 organizacji najczęściej atakowanych przez phisherów nie nastąpiły żadne poważniejsze zmiany. Portale społecznościowe nadal stanowiły najatrakcyjniejszy cel ataków phishingowych: ich udział wzrósł o 1 punkt procentowy i wynosił średnio 35,5%. W pierwszej trójce znalazły się również organizacje finansowe i e-płatności (17%)  oraz wyszukiwarki (15,3%), które zajęły odpowiednio 2 i 3 miejsce.

Producenci IT pozostali na 4 miejscu (9,1%). Tuż za nimi uplasowali się dostawcy usług telefonicznych i internetowych (8,7%).

Podsumowanie

W kwietniu zmniejszyła się ilość spamu świątecznego. Zarejestrowano masowe wysyłki wykorzystujące temat święta Wielkanocy obchodzonego w Prawosławiu. Spamerzy wykorzystali ten temat nie tylko do reklamowania towarów i usług, ale również oszukiwania użytkowników. Oszukańcze masowe wysyłki zawierające nazwiska popularnych przywódców politycznych były również dość rozpowszechnione w kwietniowych wysyłkach spamowych.

Spamerzy rzadko ignorują tragiczne wydarzenia i kwiecień 2013 roku nie był wyjątkiem. Po zamachach bombowych w Bostonie Internet zalały szkodliwe masowe wysyłki wykorzystujące to zdarzenie. Ogólnie, całkowita ilość spamu w kwietniu zwiększyła się bardzo nieznacznie.

W kwietniu większość światowego spamu pochodziła z Chin i Stanów Zjednoczonych. Korea Południowa pozostała niepokonanym liderem pod względem dystrybucji spamu do użytkowników europejskich. Łącznie ze Stanami Zjednoczonymi (2 miejsce) wygenerowała połowę europejskiego spamu. Na trzecim miejscu w rankingu znalazł się Wietnam.

Ilość wiadomości phishingowych zmniejszyła się trzykrotnie, nie nastąpiły jednak żadne poważniejsze zmiany na liście 5 organizacji najczęściej atakowanych przez phisherów. Podobnie jak w marcu na szczycie rankingu znalazły się portale społecznościowe i spodziewamy się, że serwisy te utrzymają się na tej pozycji w maju. W następnym miesiącu wzrost odnotuje najprawdopodobniej kategoria Gry online: w okresie letnich wakacji uczniowie i studenci są zazwyczaj bardziej aktywni, ponieważ korzystają z różnych serwisów społecznościowych i rozrywkowych.

Pełna wersja raportu znajduje się na stronie Securlist.pl.