Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w czerwcu 2013 r.

Tagi:

Czerwiec w liczbach

  • W czerwcu odsetek spamu w ruchu e-mail wzrósł o 1,4 punktu procentowego i wynosił średnio 71,1%.
  • Odsetek wiadomości phishingowych zwiększył się w stosunku do maja i wynosił średnio 0,0032%
  • Szkodliwe załączniki zostały zidentyfikowane w 1,8% wszystkich e-maili, co stanowi spadek o 1 punkt procentowy w porównaniu z poprzednim miesiącem.

Spam na świeczniku

W czerwcu spamerzy aktywnie rozprzestrzeniali reklamy towarów i usług, które są szczególnie popularne latem. Wraz z początkiem okresu sesji egzaminacyjnych w szkołach i na uniwersytetach sporą część czerwcowego spamu stanowiły masowe wysyłki oferujące „gotowe” dyplomy i świadectwa ukończenia szkoły jak również certyfikaty edukacyjne. W analizowanym okresie spam wakacyjny wykorzystywał również temat Dnia Ojca.     

Zajęcia edukacyjne ze sławami

Od dawna wiadomo, że oszuści wykorzystują nazwiska sławnych ludzi w celu zwrócenia uwagi na wysyłki spamowe. Wszystko zaczęło się od tzw. „listów nigeryjskich”. Jednak w czerwcu odnotowaliśmy kilka masowych wysyłek wykorzystujących nazwiska sław w nieco inny sposób – w celu reklamowania kursów edukacyjnych i magisterskich.  

Mówiąc ściśle, spamerzy posłużyli się nazwiskiem Steve’a Jobsa, założyciela firmy Apple. W nagłówku wiadomości spamowej odbiorcę zachęcano do poznania sekretu sukcesu tego sławnego biznesmena, jednak sama treść zawierała reklamę darmowego szkolenia. Jego organizatorzy obiecywali, że w ciągu zaledwie 1,5 godziny nauczą każdego, jak zmienić swoje hobby w dochodowy biznes. Steve Jobs miał służyć jako wabik.  

june_2013_spamreport_pic_01_auto.jpg

iPhone w spamie

Na skutek popularności smartfonów i tabletów Apple’a na całym świecie pojawiła się ogromna liczba firm specjalizujących się w sprzedaży akcesoriów i podejrzanie tanich oficjalnych urządzeń firmy Apple. Spam stał się dla nich akceptowalną metodą reklamowania towarów. W czerwcu wykryliśmy kilka masowych wysyłek wykorzystujących ten temat.   

W analizowanym miesiącu często trafialiśmy na wiadomości spamowe oferujące duże zniżki na urządzenia firmy Apple. Aby wysyłka bardziej przypominała legalną, oszuści w polu Od wpisali Apple, mimo że adres e-mail nie miał nic wspólnego z tą firmą. Autorzy tych e-maili podkreślili, że ilość towaru jest ograniczona, dlatego należy się spieszyć. Jest to powszechnie stosowana sztuczka mająca zachęcić użytkownika, aby szybciej podjął decyzję, kliknął odsyłacz i zamówił towar.      

june_2013_spamreport_pic_02_auto.jpg

Spamerzy oferowali nie tylko urządzenia firmy Apple, ale również związane z nimi szkolenia. W czerwcu zarejestrowaliśmy masową wysyłkę reklamującą webinar dotyczący tworzenia filmu na iPadzie i iPhonie. Autorzy obiecywali, że ich webinar nauczy ich, jak tworzyć oryginalne, wysokiej jakości filmy, które mogą pomóc im zarobić dodatkowe pieniądze.   

june_2013_spamreport_pic_03_auto.jpg

 

Spamerzy promują niedrogą edukację

Lato to nie tylko okres wakacyjny, ale również czas egzaminów końcowych w szkołach i wstępnych na studia. W czerwcu odnotowaliśmy znaczący wzrost ilości wysyłek spamowych oferujących fałszywe świadectwa ukończenia szkoły oraz dyplomy uczelni wyższych. Adresy tych wysyłek często pochodziły z publicznych źródeł, różnych baz danych lub były generowane automatycznie przez elektroniczny słownik.  

W czerwcu zarejestrowaliśmy masowe wysyłki zawierające oferty przyjęcia na amerykańskie uniwersytety jak również wygodne dla użytkownika oferty edukacji online. Maile te często zawierały odsyłacze do stron z formularzami zgłoszeniowymi na dany kurs. Warto zauważyć, że adresy stron internetowych różnią się w zależności od e-maila i często są tworzone w dniu dystrybucji wysyłki. Prawdopodobnie w ten sposób autorzy masowej wysyłki gromadzą osobiste dane użytkowników. Trafiliśmy również na oferty zakupu stopni naukowych i dyplomów tym, którzy nie mogli – lub nie chcieli – poświęcić czasu na studiowanie.  

june_2013_spamreport_pic_04_auto.jpg

Prywatne lekcje to kolejna usługa edukacyjna powszechnie reklamowana w spamie. Klienci spamerów obejmują zarówno nauczycieli jak i wyspecjalizowane agencje oferujące wykwalifikowany personel, który może pomóc dzieciom poprawić wyniki w szkole.  

june_2013_spamreport_pic_05_auto.jpg

 

Cygara na święto

Tak, jak spodziewaliśmy się, w czerwcu spamerzy nadal rozprzestrzeniali reklamy związane z Dniem Ojca – świętem, które w Stanach Zjednoczonych jest obchodzone w połowie czerwca. Jednak o ile w zeszłym roku ojcowie najwidoczniej marzyli o drogim zegarku, w 2013 r. popularnym prezentem były cygara. Pod tym względem nie odnotowaliśmy znacznych nowości: ten sam schemat wykryliśmy w ruchu e-mail kilka miesięcy temu i od tego czasu zidentyfikowaliśmy wielokrotnie. Zmieniały się tylko obrazy i kolor tekstu; ogólny projekt pozostał niemal taki sam.     

june_2013_spamreport_pic_06_auto.jpg

Metody i sztuczki spamerów

W czerwcu spamerzy nadal wykorzystywali dobrze znane sztuczki. W szczególności odnotowaliśmy kilka wysyłek spamowych reklamujących zarówno konwencjonalne jak i elektroniczne papierosy, w których organizatorzy wykorzystywali Tłumacza Google do przetwarzania odsyłaczy spamowych. Co więcej, spamerzy dodawali do końca odsyłaczy losowo wygenerowany zestaw liter i nazwy domen Google w różnych językach. W celu uzyskania odpowiedzi wiadomość zawierała adres e-mail zarejestrowany w darmowym serwisie pocztowym – spamerzy tworzą kilkanaście takich adresów i zmieniają je w swoich e-mailach w celu obejścia filtrów spamowych.     

june_2013_spamreport_pic_07_auto.jpg

Spamerzy chętnie wykorzystywali również szum w tle w celu rozbicia swoich tekstów. Autorzy „edukacyjnych” wysyłek spamowych zwykle wykorzystywali losowy zestaw symboli, aby podzielić frazy na części, a przez to utrudnić ich czytanie. Jednak kluczowe frazy, takie jak nazwa kursu szkoleniowego, uniwersytetu lub wydziału oraz koszt kursu i dane kontaktowe dało się łatwo wyróżnić.     

june_2013_spamreport_pic_08_auto.jpg

Spamerzy oferujący produkty firmy Apple po atrakcyjnych cenach stosowali jeszcze inną dobrze znaną sztuczkę. Aby zaciemnić treść masowej wysyłki i obejść filtry spamowe, dodawali do tekstu e-maila kilka rzeczywistych wiadomości dotyczących firmy Apple oraz odsyłacz do strony agencji informacyjnej.  

Spamerzy reklamujący w swoich masowych wysyłkach wakacje w Rosji i za granicą mogli użyć w jednym słowie jednocześnie alfabet cyrylicki i łaciński. Tę samą technikę zastosowali autorzy reklam nieruchomości: liczby w tekście zostały zastąpione znakami, które wyglądały podobnie do liczb, celowo zignorowano wszelkie spacje i dodano dodatkowe znaki.       

Rozkład geograficzny źródeł spamu

W czerwcu 3 czołowe źródła globalnego spamu nie uległy zmianie. Wzrósł natomiast udział niechcianych wiadomości pochodzących z każdego z tych państw. Pierwsze miejsce utrzymały Chiny (23,9%), których udział wzrósł w stosunku do maja o 2 punkty procentowe.  

june_2013_spamreport_pic_09_auto.jpg

Źródła spamu na świecie według państwa

Ilość spamu wysyłanego ze Stanów Zjednoczonych zwiększyła się o 0,9 punktu procentowego (17,2%) w porównaniu z ubiegłym miesiącem, dzięki czemu państwo to utrzymało się na 2 miejscu w rankingu. Korea Południowa uplasowała się na trzecim miejscu, odnotowując w czerwcu niewielki wzrost udziału do 14,5%.       

Tajwan utrzymał się na 4 miejscu (5,8%), nie odnotowując praktycznie żadnej zmiany w stosunku do maja. Tymczasem Wietnam (3,3%) spadł o jedno miejsce na 6 pozycję, po tym jak jego udział zmniejszył się o 1,7 punktu procentowego.       

W czerwcu Białoruś (2,8%) i Kazachstan (2,7%) znalazły się na 7 i 8 miejscu, a ruch spamowy zmniejszył się w tych państwach odpowiednio o 0,6 i 1,6 punktu procentowego.    

Wkład Rosji (2,1%) zmniejszył się o 0,1 punktu procentowego i państwo to uplasowało się na 11 miejscu w rankingu. Tuż za nim znalazły się Włochy (2,1%), które odnotowały o jeden punkt procentowy więcej w stosunku do poprzedniego miesiąca.  

june_2013_spamreport_pic_10_auto.jpg

Źródła spamu w Europie według państwa

W czerwcu Korea Południowa pozostała czołowym źródłem spamu wysyłanego do użytkowników europejskich (53,3%): jej udział zwiększył się o 9,6 punktu procentowego. Stany Zjednoczone (4,6%) i Wietnam (3,7%) spadły odpowiednio na 4 i 5 pozycję, ustępując miejsca Włochom (6,7%) i Tajwanowi (5%). Udział Włoch zwiększył się o 3,9 punktu procentowego w porównaniu z majem, kiedy państwo to znajdowało się tylko na 7 pozycji w rankingu. Indie awansowały z 12 miejsca na 6, wysyłając 2,2% całego spamu otrzymanego w Europie.              

Ukraina (1,9%), Chiny (1,3%) i Japonia (0,6%) odnotowały spadek o kilka miejsc i w czerwcowym rankingu znalazły się odpowiednio na 8, 12 i 16 miejscu. Udział niechcianych wiadomości pochodzących z Rosji zmniejszył się o 1,1 punktu procentowego i wynosił średnio 1%, przez co państwo to spadło z 10 miejsca na 13. Wkład Wielkiej Brytanii do ruchu spamowego (0,5%) również uległ zmniejszeniu, przez co  państwo to uplasowało się na 20 miejscu, o 6 pozycji niżej niż w maju. 

june_2013_spamreport_pic_11_auto.jpg

Źródła spamu według regionu

Azja (57,3%) pozostała czołowym źródłem spamu według regionu: jej udział zmniejszył się o 1,2 punktu procentowego w stosunku do maja. Podobnie jak w poprzednim miesiącu w pierwszej trójce znalazła się również Ameryka Północna (18,7%) i Europa Wschodnia (13,2%). Należy jednak zauważyć, że udział Ameryki Północnej zwiększył się o 0,6 punktu procentowego, podczas gdy Europa Wschodnia wygenerowała o 1,4 punktu procentowego mniej spamu niż w maju.      

Szkodliwe załączniki w poczcie e-mail

W czerwcu szkodliwe załączniki zostały wykryte w 1,8% e-maili, co stanowi spadek o 1 punkt procentowy w stosunku do maja.

june_2013_spamreport_pic_12_auto.jpg

10 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem poczty e-mail w czerwcu 2013 r. 

W czerwcu Trojan-Spy.html.Fraud.gen pozostał najbardziej rozpowszechnionym szkodliwym programem. Szkodnik ten występuje w postaci stron HTML, które imitują formularze rejestracyjne znanych banków lub systemów e-płatności i są wykorzystywane przez phisherów w celu kradzieży danych uwierzytelniających użytkowników w systemach bankowości online.    

Na drugim miejscu znalazł się Email-Worm.Win32.Bagle.gt. Funkcjonalność tego robaka pocztowego obejmuje samodzielne rozprzestrzenianie się na adresy w książce adresowej ofiary, co jest typowym działaniem dla tego rodzaju szkodliwego oprogramowania. Szkodnik ten może również kontaktować się z centrum kontroli i pobierać inne szkodliwe programy na komputer użytkownika.    

Na trzecim miejscu uplasował się Email-Worm.Win32.Mydoom.I. Tak, jak w przypadku wszystkich robaków, jego główną funkcją jest zbieranie z zainfekowanych komputerów adresów e-mail i wysyłanie na nie swojej kopii w formie załącznika (pliki o rozszerzeniach .doc, .htm, .html oraz .txt). W tym przypadku, adres nadawcy imituje jeden z adresów znalezionych na komputerze.   

Na 6 miejscu znalazł się kolejny przedstawiciel rodziny Mydoom - Mydoom.m. Oprócz automatycznego rozprzestrzeniania się szkodnik ten wysyła ukryte żądania wyszukiwania do wyszukiwarek takich jak Google, Yahoo, Altavista oraz Lycos. Robak porównuje adresy stron wyświetlonych na pierwszej stronie wyników wyszukiwania z adresami pobranymi z serwerów oszustów. Po znalezieniu pasującej do siebie pary otwiera odsyłacz na stronie wyszukiwarki, zwiększając tym samym ruch na stronie oraz pozycje stron w wynikach wyszukiwania.       

Na 4 miejscu uplasował się Trojan-Dropper.Win32.Dorifel.aewv. Jego główną funkcją jest wykonywanie poleceń ze zdalnego serwera oraz pobieranie i uruchamianie innych szkodliwych programów.

Pierwszą piątkę zamyka przedstawiciel rodziny ZeuS/Zbot - Trojan-Spy.Win32.Zbot.Ibda. Trojan ten został stworzony w celu kradzieży poufnych informacji użytkowników, łącznie z danymi dotyczącymi ich karty kredytowej. W czerwcu zarejestrowaliśmy ponad 1 300 modyfikacji ZeuSa/Zbota, przy czym łączny odsetek szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail wynosił 7%.   

W pierwszej 10 znalazło się również oprogramowanie spyware z rodziny Tepfer, które w tym roku cieszyło się sporą popularnością.

june_2013_spamreport_pic_13_auto.jpg

Rozkład wykryć szkodliwego oprogramowania w poczcie według państwa

W czerwcu Rosja była najczęściej atakowanym krajem przy użyciu szkodliwych wiadomości e-mail. Państwo to odnotowało 13-krotny wzrost udziału w rynku szkodliwego oprogramowania - z 2,2% w maju do 29,4% w czerwcu. Tak znaczny wzrost spowodowany był zwiększeniem się liczby e-maili zainfekowanych robakami pocztowymi, w szczególności Net-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv oraz IM-Worm.Win32.Sohanad.bm.

Wzrost udziału Rosji spowodował spadek Stanów Zjednoczonych na drugie miejsce (9,6% wszystkich wykryć szkodliwego oprogramowania w poczcie e-mail – o 4,7 punktu procentowego mniej w porównaniu z poprzednim miesiącem). Na trzecim miejscu znalazły się Niemcy (7,9%): udział tego państwa zmniejszył się o 1,6 punktu procentowego. Na 4 i 5 pozycji uplasowały się odpowiednio Indie (5,9%) i Australia (4,9%).          

Liczba wykryć szkodliwego oprogramowanie w poczcie e-mail w Wielkiej Brytanii zmniejszyła się o 2,7 punktu procentowego i wynosiła średnio 3,3%, w wyniku czego państwo to uplasowało się na 8 miejscu w rankingu. Na 9 miejscu znalazły się Włochy (2,4%), które odnotowały spadek o 2,8 punktu procentowego w stosunku do maja.   

Chiny (1,7%) zastąpiły Kanadę na 10 miejscu czerwcowego rankingu Top 10.  

Specjalne funkcje szkodliwego spamu

W czerwcu zarejestrowaliśmy dużą masową wysyłkę, której celem byli partnerzy amerykańskiej firmy LexisNexis. Wiadomości oferowały dostęp online do różnych baz danych. Fałszywy e-mail, który przyszedł z pozornie legalnego adresu einvoice.notification@lexisnexis.com, informował odbiorcę o fakturze za usługi firmy LexisNexis. W wiadomości wskazano, że więcej danych dotyczących faktury i płatności znajduje się w załączonym archiwum PDF. W rzeczywistości archiwum LexisNexis_Invoice_06212013.zip zawierało trojana Tepfer wykorzystywanego przez oszustów do kradzieży haseł i loginów użytkowników.     

june_2013_spamreport_pic_14_auto.jpg

 

Oszuści bardzo starali się, aby fałszywa wiadomość wyglądała jak oficjalne powiadomienie: zastosowali logo LexisNexis oraz rzeczywiste informacje kontaktowe firmy. Jednak nadawcy wykazali zbytnią nachalność – zachęcali odbiorców do otwarcia załącznika w aż trzech różnych miejscach w e-mailu – to powinno obudzić podejrzenia czujnych użytkowników.   

Phishing

Odsetek wiadomości phishingowych wzrósł bardzo nieznacznie w porównaniu z majem i wynosił 0,0032%.

june_2013_spamreport_pic_15_auto.jpg

Rozkład 100 organizacji najczęściej atakowanych przez phisherów według kategorii*

Ranking ten opiera się na odsetku wykryć przez moduł antyphishingowy firmy Kaspersky Lab, aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy niezależnie od tego, czy odsyłacz znajduje się w wiadomości spamowej czy na stronie internetowej. 

Użytkownicy portali społecznościowych pozostawali najatrakcyjniejszym celem ataków phishingowych, mimo że ich udział spadł o 4,6 punktu procentowego i wynosił średnio 31,3%.

W czerwcu na drugim i trzecim miejscu znalazły się odpowiednio kategorie Wyszukiwarki (15,6%) oraz Usługi finansowe i e-płatności (14,3%). Ich udział w maju wynosił prawie tyle samo. W czerwcu udział kategorii Wyszukiwarki zwiększył się o 0,61 punktu procentowego, natomiast udział organizacji finansowych i e-płatności zmniejszył się o ten sam odsetek.  

Odsetek kategorii Poczta e-mail oraz komunikatory internetowe zwiększył się trzykrotnie i wynosił 13,2%, przez co kategoria ta spadła na 4 miejsce. Kategoria Producenci IT (9,5%) spadła na 5 miejsce. Dostawcy usług internetowych (8,2%) utrzymali się na 6 miejscu w rankingu. Na 7 pozycji uplasowała się kategoria Sklepy internetowe i aukcje (5,7%), która odnotowała spadek o dwa punkty procentowe w stosunku do maja.

W czerwcu odnotowaliśmy kilka masowych wysyłek, które obejmowały fałszywe powiadomienia wysyłane w imieniu popularnego systemu e-płatności PayPal. Jeden z takich e-maili informował odbiorcę, że system zablokował dostęp konta użytkownika, ponieważ zarejestrował podejrzane płatności kartą kredytową. W celu odblokowania konta użytkownik musiał otworzyć plik znajdujący się w załączonym archiwum AccountVerification.zip. Plik ten, o nazwie Verify Account.html, otwierał się w przeglądarce i wyświetlał fałszywą stronę z uaktualnionym profilem użytkownika w systemie PayPal. Celem było zachęcenie użytkownika do podania danych uwierzytelniających kartę kredytową, danych dotyczących konta w systemie PayPal oraz innych informacji osobistych – wystarczająco, aby dać oszustom dostęp do konta w systemie PayPal i karty kredytowej ofiary.       

june_2013_spamreport_pic_16_auto.jpg

Zakończenie

Tak, jak spodziewaliśmy się, lato przyniosło wzrost ilości spamu „edukacyjnego”. Ponadto w czerwcu spamerzy nadal wykorzystywali nazwiska sławnych osób w celu reklamowania towarów i usług. Ciągła ekscytacja wokół produktów firmy Apple została wykorzystana do reklamowania akcesoriów i zniżek na popularne gadżety elektroniczne.  

W analizowanym miesiącu ponad połowa światowego spamu była rozprzestrzeniana z trzech państw – Chin, Stanów Zjednoczonych i Korei Południowej. Pod względem udziału w spamie zauważalny wzrost odnotował każdy z liderów w dystrybucji niechcianych wiadomości. Korea Południowa pozostała głównym źródłem spamu wysłanego do użytkowników europejskich. Na drugim i trzecim miejscu znalazły się Włochy i Tajwan. Stany Zjednoczone i Wietnam spadły odpowiednio na 4 i 5 miejsca.    

W czerwcu liczba ataków phishingowych na portale społecznościowe - wbrew naszym prognozom – zmniejszyła się. Mimo to portale te pozostały najatrakcyjniejszym celem phisherów. Jednocześnie znacząco wzrosła liczba ataków na systemy e-mail i komunikatory internetowe, ponieważ podczas letnich wakacji rośnie liczba użytkowników poczty elektronicznej oraz takich programów jak ICQ, Jabber, Skype itd. Na czarnym rynku istnieje duże zapotrzebowanie na konta tego typu, co motywuje phisherów, aby próbowali przechwytywać dane dotyczące logowania.