Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w pierwszym kwartale 2013 roku

Tagi:

Spis treści


Kwartał w liczbach

  • W pierwszym kwartale odsetek spamu w globalnym ruchu pocztowym zwiększył się o 0,5 punktu procentowego i wynosił średnio 66,5%. 
  • Odsetek wiadomości phishingowych zmniejszył się 4,25 razy i wynosił 0,004%.
  • Szkodliwe załączniki zostały wykryte w 3,3% wszystkich e-maili, co stanowi wzrost o 0,1 punktu procentowego.   

Spam na świeczniku

W pierwszym kwartale 2013 roku miało miejsce kilka głośnych wydarzeń: śmierć wenezuelskiego prezydenta Hugo Chaveza, rezygnacja Papieża Benedykta XVI oraz oficjalna inauguracja Papieża Franciszka. Jak zwykle, wydarzenia tego formatu nie mogły umknąć uwadze spamerów. Powszechne zainteresowanie tymi tematami wykorzystali dystrybutorzy szkodliwych odsyłaczy i oszukańczych wiadomości e-mail. Jednocześnie cyberprzestępcy nie zapomnieli o innych metodach socjotechniki. 

Gorące wiadomości ze szkodliwymi odsyłaczami

Po śmierci prezydenta Wenezueli w ruchu spamowym pojawiły się e-maile o prowokujących tytułach CIA „DELETED” Venezuela's Hugo Chavez? Ich autorzy czynili aluzję do udziału amerykańskiego rządu i CIA w śmierci Hugo Chaveza i sugerowali odbiorcy, aby kliknął odsyłacz w celu obejrzenia związanego z tym tematem filmu.


q1_spam2013_pic01_auto.png
 

Odsyłacz ten prowadził w rzeczywistości do zhakowanej legalnej strony, która następnie przekierowywała użytkowników do szkodliwego zasobu zawierającego zaciemniony skrypt java. Jeżeli system operacyjny potencjalnej ofiary odpowiadał określonym parametrom, na jej komputerze instalowany był szkodliwy program za pomocą exploita, który Kaspersky Lab proaktywnie wykrywa jako HEUR:Exploit.Java.CVE-2012-0507.gen.   

Jednak Hugo Chavez nie był jedynym ośrodkiem zainteresowania oszustów w pierwszym kwartale 2013 r. Inna masowa wysyłka zawierająca sensacyjne „wiadomości” i szkodliwy odsyłacz próbowała zwabić   użytkowników na nazwisko nowego papieża. E-maile te imitowały doniesienia informacyjne BBC lub CNN i zachęcały odbiorców do poczytania o papieżu. W szczególności, jeden z nagłówków namawiał do udziału w dyskusji o Jego Świątobliwości, wobec którego wysunięto rzekomo zarzuty dotyczące nadużyć  seksualnych. 

q1_spam2013_pic02.png
 

Omawiany atak spamowy przypominał wersję żerującą na Hugo Chavezie: po kliknięciu odsyłacza użytkownik był przekierowywany na zhakowaną stronę, z której na jego komputer pobierany był exploit (pochodzący najczęściej z zestawu exploitów Blackhole) infekujący maszynę szkodliwym programem.     

Co ciekawe, tworząc fałszywe powiadomienia o newsach, oszuści nie ustrzegli się błędów w nagłówkach: np. wysyłając wiadomości pochodzące rzekomo z CNN, pozostawili słowo „BBC” w polu „Od” wiadomości e-mail.   

Wykorzystanie gorących newsów w połączeniu z odsyłaczami do rzekomo sensacyjnych zdjęć i filmów to jedna z ulubionych sztuczek spamerów stosowana w celu rozprzestrzeniania szkodliwego oprogramowania. Już wcześniej pojawiły się podobne wysyłki oferujące odbiorcy zdjęcia Osamy bin Ladena, kompromitujący materiał dotyczący Baracka Obamy itd. Mimo różnorodności tematów wykorzystywanych przez spamerów rezultat kliknięcia odsyłaczy zawartych w takich wiadomościach jest zawsze taki sam – na komputer użytkownika próbuje pobrać się szkodliwe oprogramowanie.      

Spam „nigeryjski” a wydarzenia w Wenezueli

Oszuści „nigeryjscy” zawsze próbowali wykorzystywać do swoich celów brak stabilności w kraju, nie mogli więc przeoczyć wydarzeń w Wenezueli. W pierwszym kwartale 2013 roku odnotowaliśmy kilka masowych wysyłek w różnych językach wykorzystujących globalne zainteresowanie tym tematem.    

Taktyki zastosowane w poniższym anglojęzycznym e-mailu to standard w oszustwach nigeryjskich: wiadomość została rzekomo napisana przez osobę będącą blisko elity rządzącej, która prosi o pomoc w wywiezieniu pieniędzy z kraju, zanim zostaną przywłaszczone przez nowy rząd.     

q1_spam2013_pic03_auto.png 

Listy nigeryjskie z podobną treścią ale innymi nazwiskami pojawiły się też po śmierci libijskiego przywódcy Muammara Kadafiego oraz po aresztowaniu byłego prezydenta Egiptu Hosni Mubaraka. 

Autor niemieckojęzycznej masowej wysyłki pisze, że jako przyjaciel zmarłego Hugo Chaveza został poproszony o zaopiekowanie się kontem bankowym kochanki zmarłego przywódcy Wenezueli, na którym znajdują się 23 miliony dolarów. Nagroda zostanie wypłacona każdemu, kto może pomóc zdeponować te pieniądze.   

q1_spam2013_pic04_auto.png

Sposób interakcji nigeryjskich oszustów z potencjalnymi ofiarami jest dobrze znany. Na początkowym etapie celem jest wzbudzenie zainteresowania odbiorcy i nakłonienie go do odpowiedzi na e-mail. W dalszej korespondencji ofiara jest proszona o przelanie na wskazane konto niewielkiej kwoty – nieznacznej w porównaniu z obiecywaną nagrodą. Pieniądze te zostaną rzekomo przeznaczone na opłacenie usług prawniczych, podatków itd. Jednak po otrzymaniu pieniędzy oszuści urywają wszelki kontakt z ofiarą.           

Fałszywe powiadomienia z portali społecznościowych

Spamerzy, zwłaszcza ci, których celem jest infekowanie komputerów użytkowników, nadal wykorzystują fałszywe powiadomienia wysyłane rzekomo z dobrze znanych serwisów. W pierwszym kwartale 2013 roku oprócz Facebooka i Twittera tego rodzaju powiadomienia były wysyłane również z serwisu Foursquare. Po raz kolejny potwierdziła się prosta zasada: im popularniejszy serwis, tym większe prawdopodobieństwo, że będzie podrabiany przez spamerów.       

q1_spam2013_pic05_auto.png 

Cyberprzestępcy najczęściej wykorzystują tego rodzaju e-maile w celu rozprzestrzeniania odsyłaczy do zestawów exploitów, które potrafią znaleźć lukę na komputerze użytkownika i zainstalować za jej pośrednictwem inne szkodliwe programy. Wśród spamerów szczególną popularnością cieszy się zestaw exploitów Blackhole.  

Jednak scammerzy nie zawsze dbają o to, żeby nagłówek pola „Od” ich fałszywej wiadomości pasował do treści e-maila. Co ciekawe, błąd ten popełniają oszuści, którzy wysyłają fałszywe wiadomości wykorzystujące nazwiska takich gigantów w branży medialnej jak CNN czy BBC. Może to świadczyć o tym, że wszystkie te masowe wysyłki są kontrolowane przez jedną grupę cyberprzestępców.      

q1_spam2013_pic06_auto.png

Metody i sztuczki spamerów

Nie ma wątpliwości, że współczesnym spamerom trudno wymyślić coś nowego: wszystkie triki zostały już wykorzystane w tej czy innej formie. W efekcie, oszuści stosują połączenie kilku technik, w tym takich, które były kiedyś popularne, ale od pewnego czasu nie są już używane. Ponadto, aby obejść filtry spamowe, spamerzy wykorzystują możliwości, jakie oferują im legalne serwisy.           

Wykorzystywanie legalnych serwisów

W pierwszym kwartale 2013 roku odnotowaliśmy masową wysyłkę, która zawierała standardowe reklamy specyfików medycznych dla mężczyzn, i odkryliśmy, że zastosowano następujące sztuczki:

  1. Nagłówek „Instagram Account Delete” to typowy przykład wykorzystania socjotechniki. W celu przyciągnięcia uwagi użytkownika scammerzy podnieśli alarm dotyczący potencjalnego problemu z popularnym serwisem online. Jeżeli odbiorca posiada konto w serwisie Instagram, istnieje szansa, że otworzy e-mail, zamiast od razu usunąć go.     
  2. Rzeczywisty adres, do którego prowadzi szkodliwy odsyłacz, jest maskowany przy użyciu dwóch legalnych metod jednocześnie. Po pierwsze, spamerzy wykorzystali usługę skracania adresów URL Yahoo, a następnie przetworzyli odsyłacz przy użyciu Google Translate. Usługa ta potrafi przetłumaczyć strony internetowe, do których prowadzi wskazany przez użytkownika odsyłacz, i wygenerować własny odsyłacz do tego tłumaczenia. Połączenie tych technik sprawia, że każdy odsyłacz w masowej wysyłce jest unikatowy, a wykorzystanie dwóch dobrze znanych domen przydaje „wiarygodności” temu odsyłaczowi w oczach odbiorcy.      

Ponadto, aby jeszcze bardziej zmylić odbiorcę, spamerzy zakończyli odsyłacz bezsensownym żądaniem składającym się z losowych słów «? / Constitutional contextualization».  

 

q1_spam2013_pic07.png

 

Spamerzy często wykorzystują serwisy skracania adresów URL. Po pierwsze, robią to w celu obejścia filtrów spamowych – dzięki temu odsyłacz w każdym e-mailu jest unikatowy. Po drugie, wykorzystywanie tego rodzaju serwisów nie wiąże się z dodatkowymi kosztami dla scammerów, w przeciwieństwie do nabywania domen czy przeprowadzania ataków hakerskich na legalne strony. Z drugiej strony, najpopularniejsze serwisy służące do skracania adresów URL próbują monitorować zawartość stron internetowych, do których przekierowują użytkowników, i szybko blokować szkodliwe odsyłacze.      

Powrót „białego tekstu”

W pierwszym kwartale 2013 roku spamerzy wznowili wykorzystywanie popularnej kiedyś metody tworzenia szumu w tle znanego jako „biały tekst”. Metoda ta polega na dodawaniu do e-maila losowych fragmentów tekstu (w tym kwartale były to sekcje doniesień informacyjnych). Wstawki te są pisane jasnoszarą czcionką, znajdują się na szarym tle i są oddzielone od głównego tekstu reklamy wieloma przerwami. Oszuści oczekują, że oparte na zawartości filtry spamowe uznają te e-maile za newslettery, a wykorzystanie losowych fragmentów newsów sprawia, że każdy e-mail jest unikatowy, a przez to trudny do wykrycia.          

q1_spam2013_pic08_auto.png

 

Statystyki

Udział spamu w ruchu pocztowym

W pierwszym kwartale 2013 roku poziom spamu w ruchu pocztowym podlegał znacznym wahaniom i ostatecznie wynosił średnio 66,55%, co stanowi wzrost o 0,53 punktu procentowego w porównaniu z czwartym kwartałem 2012 roku.    

q1_spam2013_pic09.png
Odsetek spamu w ruchu pocztowym w  poszczególnych tygodniach pierwszego kwartału 2013 roku

W jednej z głównych masowych wysyłek w pierwszym kwartale wykorzystano oszukańczy scenariusz „pump and dump”. Jest to rodzaj manipulacji na rynku papierów wartościowych, gdy spamerzy kupują udziały małych firm i zawyżają ich ceny, rozprzestrzeniając w swoich masowych wysyłkach informacje o kondycji tych firm, a następnie sprzedają je po nowych, wyższych cenach. Z powodu tych masowych wysyłek pierwszy weekend marca odnotował rekord w tym kwartale (73,4%).         

q1_spam2013_pic10.png
 

Spam związany z udziałami stracił na popularności, którą cieszył się w latach 2006-2007, i na kilka lat praktycznie zniknął z ruchu spamowego, pojawiając się jedynie od czasu do czasu. Co ciekawe, w okresie szczytowej popularności takiego spamu, masowe wysyłki tego typu były również bardzo intensywne. Oszustwo tego typu musi zostać przeprowadzone tak szybko jak to możliwe, w ciągu 2 lub 3 dni, zanim blef zostanie zdemaskowany. Im więcej e-maili potrafią rozprzestrzenić oszuści w tak krótkim okresie, tym więcej potencjalnych ofiar zakupi udziały.      

Źródła spamu według państwa

W pierwszym kwartale 2013 roku najaktywniejszymi dystrybutorami spamu pozostały Chiny (24,3%) i Stany Zjednoczone (17,7%). Na trzecim miejscu znalazła się Korea Południowa (9,6% ogółu rozprzestrzenionego spamu).

Co ciekawe, spam pochodzący z tych państw jest kierowany do różnych regionów: większość chińskiego spamu jest wysyłana do Azji, podczas gdy wiadomości śmieci ze Stanów Zjednoczonych są głównie rozprzestrzeniane do Ameryki Północnej, tj. większą ich część można uznać za spam wewnętrzny. Z kolei, niechciane wiadomości z Korei Południowej trafiają głównie do Europy.       

 

q1_spam2013_pic11_auto.png
Źródła spamu według państwa w pierwszym kwartale 2013 roku

Brazylia spadła z 5 miejsca na 9, po tym jak jej udział dwukrotnie zmniejszył się w porównaniu z końcem 2012 roku. Wynikało to z tego, że pod koniec roku Brazylia wewnętrznie zamknęła port TCP 25, który stanowił domyślny port dla wychodzącego ruchu SMTP. Jest to port, przez który z państwa tego wypływa większość spamu z zainfekowanych komputerów. Zamknięcie portu 25 TCP stanowi standardową praktykę dla dostawców usług internetowych, jednak w tym przypadku dostawcy działali zgodnie z instrukcjami z góry.   

W pierwszej piątce znalazły się również Indie (4,4%), które w poprzednim kwartale uplasowały się na 3 miejscu, oraz Tajwan, który podwoił swój wynik z zeszłego roku i awansował z 10 miejsca na 5. Rosja (3,2%) zwiększyła swój udział w spamie o 1,2 punktu procentowego, awansując na 7 miejsce.     

Z Polski w pierwszym kwartale 2013 r. pochodziło 1,5% globalnego spamu.

Źródła spamu według regionu

Azja pozostała czołowym źródłem spamu według regionu, rozprzestrzeniając 51,8% całego globalnego spamu. Za nią uplasowała się Ameryka Północna (18,3% niechcianych wiadomości).     

 

q1_spam2013_pic12.png
Źródła spamu według regionu w pierwszym kwartale 2013 r.

Zwiększył się udział spamu pochodzącego z Europy Wschodniej, który wynosił 11,1%.  Mimo że w pierwszej 10 znalazło się tylko jedno państwo z Europy Wschodniej – Rosja – z regionu tego pochodziło 50% państw na pozycjach od 11 do 20. Z pierwszej dwudziestki całkowicie wypadła Ameryka Łacińska z powodu spadku aktywności w Brazylii, Peru i Argentyny.    

Rozmiar wiadomości spamowych

 

q1_spam2013_pic13.png
Rozmiar wiadomości spamowych w pierwszym kwartale 2013 r.

W pierwszym kwartale 2013 roku wiadomości spamowe miały w większości stosunkowo niewielki rozmiar (1 KB lub mniejsze). Mniejsze wiadomości pozwalają spamerom wysyłać więcej e-maili przy mniejszym zużyciu ruchu. Ponadto, krótkie frazy, zmieniane z wiadomości na  wiadomość, sprawiają, że wiadomości te są unikatowe i wprowadzają w błąd filtry spamowe.         

Szkodliwe załączniki w e-mailach

Odsetek e-maili ze szkodliwymi załącznikami zwiększył się o 0,1 punktu procentowego w stosunku do poprzedniego kwartału i wynosił średnio 3,3%.

 

q1_spam2013_pic14_auto.png
10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w pierwszym kwartale 2013 r. 

W pierwszym kwartale 2013 r. Trojan-Spy.html.Fraud.gen pozostał najczęściej rozprzestrzenianym szkodliwym programem za pośrednictwem ruchu e-mail. Szkodnik ten występuje w postaci stron HTML imitujących formularze rejestracyjne dobrze znanych banków i systemów e-płatności. Phisherzy wykorzystują je do kradzieży danych uwierzytelniających systemy bankowości online.      

Na drugim miejscu znalazła się rodzina robaków Bagle. Oprócz głównej funkcjonalności robaka pocztowego, polegającej na samodzielnym rozprzestrzenianiu się na adresy zawarte w książce adresowej ofiary, robaki z rodziny Bagle potrafią również pobierać inne szkodliwe programy na komputer użytkownika.

Na trzeciej pozycji znalazł się Trojan-Banker.HTML.Agent.p. Podobnie jak Fraud.gen, szkodnik ten jest wykonywany jako strona HTML z formularzem rejestracyjnym pochodzącym rzekomo od organizacji finansowej lub innego typu serwisu online.

Oprócz starych robaków pocztowych nieustannie krążących w internecie w pierwszej 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w pierwszym kwartale 2013 roku znalazł się również Trojan.Win32.Bublik.aknd oraz kilka backdoorów z rodziny Androm. 

Bublik przechwytuje hasła użytkowników do FTP, dane uwierzytelniające dostęp do serwisu e-mail oraz certyfikaty z zainfekowanych komputerów. Potrafi przeszukiwać formularze w przeglądarce Mozilla Firefox i Google Chrome w celu znalezienia zapisanych loginów i haseł, a następnie przesłać te dane szkodliwym użytkownikom.  

Ta rodzina backdoorów pozwala szkodliwym użytkownikom potajemnie kontrolować zainfekowany komputer, np. w celu pobrania i uruchomienia innych szkodliwych plików, które następnie wysyłają różne dane z komputera użytkownika itd. Ponadto, wiele komputerów zainfekowanych backdoorami staje się częścią botnetu. W większości przypadków, backdoory z rodziny Androm były rozprzestrzeniane w fałszywych wiadomościach e-mail wysyłanych rzekomo w imieniu Booking.com, DHL, British Airways itd. Ta sama metoda była wykorzystywana w przeszłości w celu dystrybucji programów należących do rodziny ZeuS/Zbot.       

 

q1_spam2013_pic15_auto.png
Rozkład wykryć szkodliwych programów w poczcie e-mail według państwa w pierwszym kwartale 2013 r. 

Stany Zjednoczone (13,2%) i Niemcy (11,2%) pozostały państwami, w których wykryto większość szkodliwych programów w poczcie e-mail. Ich łączny wkład stanowi jedną czwartą wszystkich szkodliwych e-maili. Na trzecim miejscu znalazły się Włochy (8,7%), którym zazwyczaj nie udaje się nawet wejść do pierwszej dziesiątki. Jednak w lutym Włochy były intensywnie atakowane przez szkodnika o nazwie Trojan-Banker.HTML.Agent.p.      

Odsetek spamu wykrytego w pozostałych państwach z pierwszej dziesiątki pozostał prawie niezmieniony.

Phishing

W pierwszym kwartale 2013 roku udział wiadomości phishingowych w całkowitym ruchu pocztowym zmniejszył się 4,25 razy w stosunku do poprzedniego kwartału i wynosił średnio 0,004%.

 

q1_spam2013_pic16_auto.png
Rozkład Top 100 organizacji atakowanych przez phisherów, według kategorii w pierwszym kwartale 2013 r.*

*Ranking ten opiera się na wynikach działania modułu antyphishingowego firmy Kaspersky Lab, aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz znajduje się w e-mailu spamowym czy na stronie internetowej.       

Portale społecznościowe nadal dźwigały główny ciężar ataków phishingowych (37,6%), przy czym oszuści aktywnie imitowali powiadomienia z serwisu Facebook i LinkedIn. Na drugim miejscu znalazły się wyszukiwarki (16,2%) - głównie dlatego, że właściciele wyszukiwarek oferują również wiele innych usług, takich jak miejsce na dysku wirtualnym, poczta e-mail, portale społecznościowe itd. Jedno konto stanowi często klucz do wszystkich serwisów, dlatego wyszukiwarki są bardzo atrakcyjne dla cyberprzestępców.   

Na trzecim miejscu znalazły się organizacje finansowe i e-płatności (14,2%). W przeciwieństwie do portali społecznościowych, gdzie większość ataków spada na jedną lub dwie organizacje, rozkład ataków na banki jest bardziej równomierny: celem ataków jest duża liczba różnych banków, od dużych, znanych na świecie marek po małe lokalne banki.        

 

q1_spam2013_pic17_auto.png
Rozkład hostingu stron phishingowych według państwa w pierwszym kwartale 2013 r.

W pierwszym kwartale 2013 roku na szczycie rankingu państw hostujących strony phishingowe znalazły się Stany Zjednoczone (25,4%). Drugie i trzecie miejsce zajęły odpowiednio Wielka Brytania (8,2%) i Niemcy (7,7%). Za nimi znajduje się Rosja (6%). Pierwszą piątkę zamykają Indie (5,2%).        

Co ciekawe, wśród 10 państw hostujących większość stron phishigowych znajduje się również Kanada (4,5%) i Australia (3,9%). Państwa te są uważane za dość bezpieczne pod względem cyberprzestępczości, a ilość pochodzącego z nich spamu wynosi 1% lub mniej.     

Podsumowanie

W 2012 roku poziom spamu charakteryzował się stałym spadkiem. W pierwszym kwartale 2013 roku odsetek niechcianej korespondencji w ruchu pocztowym wahał się z miesiąca na miesiąc, jednak średni poziom pozostał praktycznie niezmieniony w stosunku do poprzedniego kwartału. Spodziewamy się, że w przyszłości udział spamu utrzyma się na obecnym poziomie lub nieznacznie wzrośnie na skutek niedawnego wzrostu liczby multimilionowych masowych wysyłek.

Spamerzy nadal próbują zwrócić uwagę użytkowników na swoje wiadomości: wykorzystują sławne nazwiska, globalne wydarzenia lub fałszywe powiadomienia z popularnych zasobów online. Wiele e-maili zawiera odsyłacze do szkodliwych programów, łącznie z exploitami. Po raz kolejny chcielibyśmy przypomnieć użytkownikom, aby nie klikali odsyłaczy zawartych w e-mailach, nawet jeśli nadawca wydaje się znajomy. O wiele bezpiecznej jest wpisać adres do przeglądarki ręcznie.     

Najaktywniejsi dystrybutorzy spamu – Stany Zjednoczone i Chiny – prawdopodobnie nie stracą swoich pozycji w najbliższej przyszłości, chyba że centra kontroli botnetów w tych państwach zostaną zamknięte. W pierwszym kwartale 2013 roku wśród trzech wiodących źródeł spamu na świecie znalazła się również Korea Południowa, która wysyłała spam głównie do użytkowników europejskich.  

W pierwszym kwartale 2013 r. najpowszechniejszymi szkodliwymi załącznikami rozprzestrzenianymi za pośrednictwem poczty e-mail były programy przeznaczone do kradzieży loginów i haseł użytkowników. Szczególną popularnością wśród oszustów cieszyły się trojany, których celem są dane uwierzytelniające użytkowników do systemów bankowości online. Ponadto, wiele masowych wysyłek zawierało odsyłacze prowadzące do zestawów exploitów, z których najpopularniejszym był Blackhole.