Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w II kwartale 2017 r.

Tagi:

Spam: najważniejsze wydarzenia w kwartale

Trojany wykorzystujące serwisy dostawcze

Na początku II kwartału 2017 roku odnotowaliśmy falę szkodliwych wysyłek podszywających się pod powiadomienia z dobrze znanych firm kurierskich. Trojany downloadery były wysyłane w archiwach ZIP, a po uruchomieniu pobierały inne szkodliwe oprogramowanie, takie jak Backdoor.Win32.Androm czy Trojan.Win32.Kovter. Oszuści zastosowali standardową sztuczkę - dostarczanie niebezpiecznej zawartości pod przykrywką istotnych informacji dotyczących dostawy - w celu skłonienia odbiorców do otwarcia załącznika. Szkodliwe wysyłki były wymierzone w osoby z różnych państw i były skomponowane w różnych językach.    

Spam_Report_Q2_2017_1_auto.png

Takie fałszywe powiadomienia od firm kurierskich zawierały również szkodliwe odsyłacze wykorzystywane do infekowania komputerów użytkowników i kradzieży informacji osobistych. Fałszywy odsyłacz był połączony z numerem referencyjnym nieistniejącej przesyłki i posiadał następujący format:   

Http: // domain / name of delivery service __com__WebTracking__tracknum__4MH38630431475701

Ta sama wysyłka masowa zawierała różne domeny i sekwencje liter oraz liczb na końcu odsyłacza.

Klikając odsyłacz, użytkownik pobierał nieświadomie trojana z rodziny Js.Downloader, który z kolei pobierał trojana bankowego Emotet. Szkodnik ten został po raz pierwszy wykryty w czerwcu 2014 roku i nadal jest wykorzystywany do kradzieży osobistych informacji finansowych, loginów oraz haseł z innych serwisów, jak również do wysyłania spamu.     

Spam_Report_Q2_2017_2_auto.png

WannaCry w spamie

W maju 2017 roku setki tysięcy komputerów na całym świecie zostały zainfekowane przez oprogramowanie ransomware WannaCry. O ile większość podobnych programów wyłudzających okup wymaga pewnej interakcji użytkownika, zanim komputer zostanie zainfekowany, w przypadku WannaCry żadne działania ze strony użytkownika nie były potrzebne. Szkodnik ten atakuje cel przy pomocy exploita dla Windowsa, a następnie infekuje wszystkie komputery w sieci lokalnej. Podobnie jak inne programy tego typu WannaCry szyfruje pliki na komputerze ofiary i żąda okupu w zamian za odszyfrowanie danych. Po zaszyfrowaniu pliki posiadają rozszerzenie .wcry i stają się niemożliwe do odczytania.         

Medialny szum wokół szkodnika WannaCry stanowił, podobnie jak wszystkie głośne wydarzenia, wodę na młyn spamerów. Wykorzystali oni sytuację, wysyłając między innymi oferty usług w zakresie zwalczania tego nowego szkodnika, zapobiegania infekcji, szkoleń dla użytkowników itd. Na epidemii skorzystali również scammerzy zarabiający pieniądze za pośrednictwem oszukańczych wysyłek.  

Spam_Report_Q2_2017_3.png

Wysyłali oni fałszywe powiadomienia rzekomo w imieniu popularnych dostawców oprogramowania, informując odbiorców, że ich komputer został zainfekowany oprogramowaniem ransomware i wymaga aktualizacji. Odsyłacz do rzekomej aktualizacji, jak łatwo się domyślić, prowadził do strony phishingowej. Natrafiliśmy na e-maile świadczące o braku dbałości podczas tworzenia wiadomości. Oszuści mieli najwyraźniej nadzieję, że ich ofiary będą zbyt spanikowane, aby dostrzec oczywiste błędy (adres nadawcy, adres URL itd.).        

Szkodliwe oprogramowanie w archiwach chronionych hasłem i sektor korporacyjny

W drugim kwartale 2017 roku zidentyfikowaliśmy nowe wysyłki zawierające szkodliwe załączniki w archiwum chronionym hasłem. Bez wątpienia ich celem był sektor korporacyjny.  

Rozsyłanie archiwów chronionych hasłem służy zwykle dwóm celom. Po pierwsze, jest to forma socjotechniki, ponieważ osoby atakujące podkreślają, że wszystkie poufne dane (dotyczące np. kont biznesowych) są dodatkowo chronione za pomocą hasła. Po drugie, do czasu wypakowania plików z archiwum nie można ich do końca sprawdzić przy pomocy oprogramowania antywirusowego.  

Spam_Report_Q2_2017_4.jpg

Spam_Report_Q2_2017_5.jpg

Spam_Report_Q2_2017_6.jpg

Archiwa te zawierały szkodliwy program należący do rodziny Pony/FareIT. Celem tego szkodnika jest kradzież loginów i haseł do serwisów WWW przechowywanych w przeglądarkach, stronach WWW, na których są wpisywane, danych uwierzytelniających dla serwerów FTP, menedżerów plików, klientów pocztowych, aplikacji synchronizacji jak również portfeli kryptowaluty.    

 Spam_Report_Q2_2017_7.jpg

Archiwum zawiera szkodliwy program o nazwie Trojan-Downloader.MSWord.Agent.bkt, który jest plikiem Microsoft Word chronionym przy pomocy hasła. W dokumencie kryje się szkodliwy skrypt, który pobiera inne szkodliwe oprogramowanie stworzone w celu kradzieży danych bankowych z komputera użytkownika.     

Spam_Report_Q2_2017_8.jpg

Warto wspomnieć o nasileniu się tendencji maskowania szkodliwych wysyłek pod przykrywką korespondencji biznesowej. Obecnie spamerzy nie ograniczają się jedynie do naśladowania stylu wiadomości biznesowych. Często wykorzystują prawdziwe dane firm, które istnieją w rzeczywistości, kopiują autopodpisy i logo, co więcej - temat wiadomości może odpowiadać profilowi firmy. Sądząc po adresach domen w polu „Do” oraz treści wiadomości, wysyłki te również są skierowane przeciwko sektorowi B2B.  

Spam_Report_Q2_2017_9.jpg

Archiwum zawierało szkodliwy program należący do rodziny Loki Bot, której celem jest kradzież haseł z FTP, klientów pocztowych oraz haseł przechowywanych w przeglądarkach, jak również portfelach kryptowaluty.

Spam_Report_Q2_2017_10.jpg

Archiwum zawiera szkodnika o nazwie Exploit.Win32.BypassUAC.bwc, którego celem jest kradzież haseł do zasobów sieciowych oraz klientów pocztowych. W celu zwiększenia przywilejów, szkodliwe oprogramowanie wykorzystuje exploita, który obchodzi ochronę komponentu Microsoft Windows UAC. Podczas działania wykorzystuje legalne narzędzia do przywracania haseł.   

Spam_Report_Q2_2017_11.jpg

Archiwum zawiera plik XLS z makro, które zostało użyte do pobrania keyloggera HawkEye na komputer ofiary. Ten szkodliwy program, napisany w .NET, przechwytuje znaki wprowadzanie z klawiatury i gromadzi informacje dotyczące systemu, w którym działa: wewnętrzne i zewnętrzne adresy IP, wersja systemu operacyjnego oraz nazwa produktu bezpieczeństwa i zapory sieciowej.   

Spam_Report_Q2_2017_12.jpg

Archiwum zawiera dwa szkodliwe pliki: EXE, który jest zamaskowany jako PDF (wykrywany jako Trojan.Win32.VBKrypt.xdps), oraz dokument MSWord z exploitem, który wykorzystuje lukę CVE-2017-0199. Oba szkodniki pobierają na komputer ofiary modyfikację Zeusa.   

Takie ataki ukierunkowane mogą mieć różne cele. W przypadku oprogramowania ransomware, własność intelektualna firmy jest niewątpliwie uważana za znacznie cenniejszą niż informacje, które można znaleźć na prywatnym komputerze, dlatego firma będzie bardziej skłonna zapłacić żądaną kwotę w bitcoinach w celu ich odzyskania. W przypadku oprogramowania spyware stworzonego w celu kradzieży informacji finansowych, oszuści mogliby rozbić bank, jeśli tylko udałoby im się uzyskać dostęp do kont firmowych.   

Oprogramowanie spyware w sektorze B2B może być również wykorzystane w bardziej wyrafinowanych oszustwach finansowych, łącznie z atakami typu MITM podczas transakcji finansowych. Jedno z takich oszustw, wykryte przez naszych kolegów, zostało opisane w tym miejscu.    

Co ciekawe, chociaż szkodliwa funkcja pobierana na komputer ofiary bardzo się różni, głównym celem jest kradzież danych uwierzytelniających, co oznacza, że większość ataków na sektor korporacyjny jest motywowana finansowo.    

Nie powinniśmy również zapominać o potencjalnie niebezpiecznej sytuacji, gdy osoba atakująca uzyskuje dostęp do sieci korporacyjnej i przejmuje kontrolę nad sprzętem przemysłowym.

Ogólnie, w drugim kwartale 2017 r. odsetek spamu w ruchu pocztowym wzrósł nieznacznie w stosunku do poprzedniego kwartału. Liczba szkodliwych programów wykrytych w poczcie e-mail wzrosła o 17% w II kwartale w porównaniu z I kwartałem.

Spam_Report_Q2_2017_Post_Component_Detec

Liczba szkodliwych programów wykrytych w poczcie elektronicznej na komputerach użytkowników rozwiązań Kaspersky Lab, I kwartał w porównaniu z II kwartałem 2017 r.

Botnet Necurs nadal rozprzestrzenia spam

Botnet Necurs nadal rozprzestrzenia spam, chociaż w znacznie mniejszych ilościach niż w 2016 roku. Działanie tego botnetu charakteryzuje się naprzemiennymi okresami małej i dużej aktywności, gdy odnotowujemy do 2 milionów wiadomości e-mail dziennie wysyłanych do klientów firmy Kaspersky Lab. Oprócz szkodliwych wysyłek wysyłanych z botnetu, Necurs aktywnie rozprzestrzenia wiadomości w ramach oszustwa „pump-and-dump” jak również spam związany z portalami randkowymi:   

Spam_Report_Q2_2017_14.jpg

Szkodliwe wiadomości pochodzące z botnetu Necurs są zwykle zwięzłe i zawierają pliki z rozszerzeniem DOC, PDF lub innymi. Niekiedy, zamiast załączników, e-maile zawierają odsyłacze do magazynów w chmurze, takich jak Dropbox, z których pobierane są szkodliwe pliki.    

Spam_Report_Q2_2017_15.jpgSpam_Report_Q2_2017_16.jpgSpam_Report_Q2_2017_17.jpg

Spam rozsyłany za pośrednictwem legalnych usług

W zeszłym kwartale pisaliśmy, że w celu obejścia filtrów spamerzy często rozprzestrzeniają reklamy i oszukańcze oferty przy użyciu legalnych sposobów. Obejmują one np. pole „Zaproś znajomych” na portalach społecznościowych, powiadomienia o komentarzach, które są zwykle wysyłane na adres e-mail odbiorcy, lub inną metodę dostępną na różnych stronach, która umożliwia wysłanie wiadomości e-mail na adresy z listy zaufanych adresów użytkownika. Ponadto, ten rodzaj spamu jest trudniejszy do wykrycia ze względu na legalne źródło niechcianych wiadomości. Spamerzy lubią je również dlatego, że tego rodzaju zasób stanowi łatwy cel. Wykorzystują oni np. portale z ofertami pracy w celu opublikowania ogłoszenia o łatwym zarobku lub przeprowadzania oszustw finansowych.    

Spam_Report_Q2_2017_18.jpg

Oszustwo związane z domenami

W zeszłym kwartale zidentyfikowaliśmy kilka różnych masowych wysyłek w ramach oszustw wykorzystujących domeny. 

Jedna z nich została wysłana w imieniu znanej firmy zajmującej się rejestracją nazw domen i była adresowana do administratorów zarejestrowanych domen. Informowała o konieczności aktywowania domeny w celu potwierdzenia statusu administratora i uzyskania możliwości zarządzania domeną. Działania te zostały rzekomo podjęte zgodnie ze zmianami wprowadzonymi do przepisów przez ICANN (Internet Corporation for Assigned Names and Numbers).

Administrator został powiadomiony, że ma ograniczony czas na stworzenie pliku PHP o określonej zawartości w katalogu głównym strony. Wiadomość zawierała również informację, że w przypadku nieprzestrzegania tych warunków procedura potwierdzenia nie zostanie ukończona i obsługa domeny zostanie zawieszona. 

Spam_Report_Q2_2017_19.jpg

W przypadku uruchomienia skryptu na stronie ofiary, osoby atakujące mogły przejąć kontrolę nad stroną i uruchomić dowolny kod. Ponadto, skrypt umożliwia gromadzenie wszystkich danych użytkownika wprowadzonych na stronie, na której jest zarejestrowany i uruchomiony. To, że wiele spośród tych fałszywych wiadomości zostało wysłanych na adresy należące do banków, wskazuje, że oszuści chcieli prawdopodobnie gromadzić dane wprowadzane na stronie internetowej tych banków, łącznie z loginami i hasłami wykorzystywanymi w bankowości internetowej. 

Administratorzy stanowili również cel innego rodzaju oszustwa związanego z domenami. Polegało ono na wysyłaniu do administratora organizacji wiadomości e-mail nakłaniających do zarejestrowania swojej domeny w wyszukiwarkach, aby potencjalni klienci mogli łatwiej znaleźć firmę w internecie. Wiadomości te pochodziły z adresów wygenerowanych na darmowym hostingu.   

Spam_Report_Q2_2017_20_auto.jpg

Usługa ta była oferowana odpłatnie. W celu zapoznania się z cennikiem odbiorca miał kliknąć odsyłacz w e-mailu, który był „hostowany” na legalnej stronie internetowej. Po wybraniu opłaty użytkownik musiał wypełnić i wysłać formularz, w którym należało podać szczegółowe informacje osobowe, w tym dane dotyczące karty kredytowej.      

Statystyki

Odsetek spamu w ruchu e-mail

Spam_Report_Q2_2017_Spam_Part_World_Q2_2

Odsetek spamu w globalnym ruchu e-mail, I kwartał 2017 r. w porównaniu z II kwartałem 2017 r.

W II kwartale 2017 r. największy odsetek spamu – 57,99% - został odnotowany w kwietniu. Średni udział niechcianych wiadomości w ruchu e-mail w drugim kwartale wynosił 56,97% - o 1,07 punktu procentowego więcej niż w poprzednim kwartale.

Źródła spamu według państwa

Spam_Report_Q2_2017_Countries_Spam_Sourc

Źródła spamu według państwa, II kwartał 2017 r.

W drugim kwartale 2017 r. nastąpiła zmiana w trójce największych źródeł spamu. Na pierwszym miejscu znalazł się Wietnam, który odpowiadał za 12,37% spamu na świecie. Na kolejnej pozycji uplasował się lider poprzedniego kwartału – Stany Zjednoczone – którego udział zmniejszył się o 8,65 punktu procentowego i wynosił 10,1%. Pierwszą trójkę zamknęły Chiny (8,96%, +1,19).        

Czwartym pod względem wielkości źródłem spamu, odpowiadającym za 8,77% (+3,61 punktu procentowego) wszystkich niechcianych wiadomości, były Indie, kolejnym natomiast Niemcy (5,06%, -0,31 punktu procentowego).    

Znajdująca się na szóstym miejscu Rosja odpowiadała za 4,99% spamu – co stanowi spadek jedynie o 0,06 punktu procentowego w porównaniu z poprzednim kwartałem.    

Wśród 10 największych źródeł niechcianych wiadomości znalazła się również Brazylia (4,47%), Francja (4,35%), Iran (2,49%) oraz Holandia z udziałem 1,96%.

Rozmiar wiadomości spamowych

Spam_Report_Q2_2017_Spam_email_size_Q2_2

Rozkład wiadomości spamowych według rozmiaru, I kwartał 2017 r. w porównaniu z II kwartałem 2017 r.

W II kwartale 2017 r. udział niewielkich wiadomości e-mail (do 2 KB) w ruchu spamowym zmienił się tylko nieznacznie i wynosił średnio 37,41% - o 1,9 punktu procentowego więcej niż w pierwszym kwartale. Odsetek wiadomości e-mail o rozmiarze 2–5 KB utrzymał się na tym samym poziomie – 4,54%; natomiast tych o rozmiarze 5–10 KB (7,83%) zmniejszył się o 1,36 punktu procentowego i wynosił 5,94%.          

Odsetek wiadomości o rozmiarze 10-20 KB wynosił 18,31%, natomiast e-maili o rozmiarze 20-50 KB – 27,16%. Udział wiadomości o rozmiarze powyżej 100 KB wynosił nieco powyżej 2%.     

Szkodliwe załączniki w wiadomościach e-mail

Top 10 rodzin szkodliwego oprogramowania

Spam_Report_Q2_2017_TOP10_families_24_au

TOP 10 rodzin szkodliwego oprogramowania w II kwartale 2017 r.

Trojan-Downloader.JS.SLoad (8,73%) znalazł się na szczycie rankingu najpopularniejszych rodzin szkodliwego oprogramowania. Na drugim miejscu uplasował się Trojan-Downloader.JS.Agent (3,31%), natomiast pierwszą trójkę zamknął Trojan-PSW.Win32.Fareit (3,29%).

Trojan-Downloader.JS.Agent (3,05%) zajął czwarte miejsce, natomiast piąte - Worm.Win32.WBVB (2,59%).

Nowości w pierwszej dziesiątce - Backdoor.Java.QRat (1,91%) i Trojan.PDF.Phish (1,66%) - zajęły odpowiednio siódme i dziewiąte miejsca.

Rodzina Backdoor.Java.QRat to wieloplatformowy, wielofunkcyjny backdoor napisany w języku Java i sprzedawany w sieci DarkNet jako „szkodliwe oprogramowanie jako usługa” (MaaS). Jest on zwykle rozprzestrzeniany za pośrednictwem poczty e-mail jako załącznik JAR.     

Trojan.PDF.Phish jest dokumentem PDF zawierającym odsyłacz do strony phishingowej, na której użytkownicy mają podać login i hasło do określonego serwisu.

Państwa stanowiące cel szkodliwych wysyłek

Spam_Report_Q2_2017_Countries_Targets_Q2

Rozkład szkodliwych programów wykrytych w poczcie e-mail według państwa, II kwartał 2017 r.

Niemcy (12,71%) stanowiły największy cel szkodliwych wysyłek w II kwartale 2017 r. Chiny, lider zeszłego kwartału, znalazły się na drugiej pozycji (12,09%), na trzeciej natomiast uplasowała się Wielka Brytania (9,11%).     

Czwarte miejsce zajęła Japonia (5,87%), a piąte Rosja z udziałem 5,67%. Na kolejnych miejscach znalazły się Brazylia (4,99%), Włochy (3,96%), Wietnam (3,06%) oraz Francja (2,81%).  

Pierwszą dziesiątkę zamknęły Stany Zjednoczone (2,31%).

Phishing

W drugim kwartale 2017 roku system antyphishingowy zapobiegł 46 557 343 próbom odwiedzenia stron phishingowych na komputerach użytkowników rozwiązań Kaspersky Lab. Ogólnie, 8,26% unikatowych użytkowników produktów firmy Kaspersky Lab na całym świecie zostało zaatakowanych przez phisherów w II kwartale 2017 roku.        

Rozkład geograficzny ataków

W II kwartale 2017 roku Brazylia (18,09%) stanowiła państwo z największym odsetkiem użytkowników będących celem ataków phishingowych, chociaż jej udział zmniejszył się o 1,07 punktu procentowego w porównaniu z poprzednim kwartałem.       

Spam_Report_Q2_2017_Geography_attacks_26

Rozkład geograficzny ataków phishingowych*, II kwartał 2017 r.
* Liczba użytkowników, na których komputerach został aktywowany system antyphishingowy, jako odsetek łącznej liczby użytkowników rozwiązań Kaspersky Lab w danym kraju  

Odsetek użytkowników zaatakowanych w Chinach zmniejszył się o 7,24 punktu procentowego do 12,85%, w efekcie czego państwo to uplasowało się na drugim miejscu w rankingu. Australia zwiększyła swój udział o 1,96 punktu procentowego i uplasowała się na trzecim miejscu (12,69%). Odsetek zaatakowanych użytkowników w Nowej Zelandii, czwartej w rankingu, zwiększył się do 12,06% (+ 0,12 punktu procentowego), natomiast Azerbejdżan znalazł się na piątym miejscu (11,48%). Pozostałe państwa z pierwszej dziesiątki to Republika Południowej Afryki (9,38%), Argentyna (9,35%) oraz Wielka Brytania (9,29%).            

W drugim kwartale Rosja (8,74%) wypadła z rankingu 10 państw o największym odsetku użytkowników stanowiących cel ataków phishingowych, plasując się na 18 miejscu.   

Brazylia

18,09%

Chiny

12,85%

Australia

12,69%

Nowa Zelandia

12,06%

Azerbejdżan

11,48%

Kanada

11,28%

Katar

10,68%

Wenezuela

10,56%

Afryka Południowa

9,38%

Argentyna

9,35%

Wielka Brytania

9,29%

TOP 10 państw według odsetka zaatakowanych użytkowników

Atakowane organizacje

Ranking kategorii organizacji zaatakowanych przez phisherów

Ranking ataków przeprowadzonych przez phisherów według kategorii atakowanych organizacji opiera się na wykryciach dokonanych przy użyciu heurystycznego komponentu antyphishingowego firmy Kaspersky Lab. Jest on aktywowany za każdym razem, gdy użytkownik próbuje otworzyć stronę phishingową – klikając odsyłacz w mailu phishingowym lub w wiadomości na portalu społecznościowym, lub np. w wyniku aktywności szkodliwego oprogramowania. Po tym, jak zostanie aktywowany system bezpieczeństwa, w przeglądarce wyświetli się banner ostrzegający użytkownika przed potencjalnym zagrożeniem.             

W II kwartale 2017 r. kategorie Banki (23,49%, -2,33 punktu procentowego), Systemy płatności (18,40%, +4,8 punktu procentowego) oraz Sklepy internetowe (9,58%, -1,31 punktu procentowego) odpowiadały za ponad połowę (51,47%) wszystkich zidentyfikowanych ataków.    

Spam_Report_Q2_2017_Attacked_organizatio

Rozkład organizacji będących celem ataków phishingowych według kategorii, II kwartał 2017 r.

Gorące tematy tego kwartału

Bilety lotnicze

W drugim kwartale 2017 r. Facebook zalała fala postów z nieprawdziwą informacją, jakoby największe linie lotnicze rozdawały bilety za darmo. Naturalnie, takie promocje nie istniały w rzeczywistości: oszuści stworzyli wiele stron internetowych, na których użytkownikom gratulowano wygrania biletu lotniczego i proszono ich o wykonanie serii działań w celu otrzymania nagrody. Najpierw ofiary proszono o opublikowanie informacji promocyjnych na swoim profilu na Facebooku. Następnie, ofiary miały kliknąć przycisk „Lubię to”. Po wykonaniu wszystkich niezbędnych działań, strona przekierowywała użytkownika do zasobu promowanego przez oszustów. Strony te miały różną zawartość – od nieszkodliwych reklam po szkodliwe oprogramowanie.         

Spam_Report_Q2_2017_28.png

Fałszywe blokowanie stron w przeglądarce

Niemal wszystkie popularne przeglądarki posiadają wbudowaną ochronę przed zagrożeniami WWW. Gdy użytkownik wejdzie na szkodliwą lub phishingową stronę, często ostrzegają o potencjalnych zagrożeniach i zalecają opuszczenie jej. 

Oszuści wykorzystują ten mechanizm bezpieczeństwa do własnych celów i próbują odwrócić uwagę użytkowników ostrzeżeniami. Na przykład, symulują blokowanie strony przez przeglądarkę Chrome. Użytkownik, który kiedykolwiek widział takie ostrzeżenie wyświetlone w przeglądarce, jest bardziej skłonny zaufać stronie i wykonać działania żądane przez przestępców.

Główne zagrożenie związane z tymi stronami polega na tym, że dokładne przyjrzenie się paskowi adresu na nic się tu nie zda – ostrzeżenie przeglądarki zwykle „wyskakuje” na niezaufanych zasobach WWW.   

Spam_Report_Q2_2017_29.png

Jednak takie ostrzeżenia mogą pojawić się również podczas próby uzyskania dostępu do domeny należącej do firm, które oferują usługę hostingową. To właśnie takie ostrzeżenia sprawiają, że ofiary mają do nich większe zaufanie:   

Spam_Report_Q2_2017_30.png

Gdy użytkownik dzwoni na podane numery, oszuści udają, że są z działu wsparcia, podstępem nakłaniając ofiary do zapłacenia za usługi, których rzekomo potrzebują. 

Kodowanie Punycode

Dokładne przyjrzenie się paskowi adresu nie pomoże, jeśli phisherzy stosują znaki, które są spoza alfabetu łacińskiego, ale przypominają znaki łacińskie, w celu stworzenia nazw domen, które są niemal identyczne z nazwami popularnych zasobów WWW. Przeglądarki internetowe stosują Punycode do reprezentacji znaków Unicode w adresie URL. Jeśli jednak wszystkie znaki w nazwie domeny należą do zestawu znaków jednego języka, przeglądarka wyświetli je w tym określonym języku, nie zaś Punycode.                

Technika ta została przedstawiona na zrzucie ekranu strony phishingowej poniżej.

Spam_Report_Q2_2017_31.png

Niekiedy, po dokładniejszym przyjrzeniu się, można dostrzec niezgodności, np. kropkę pod literą „e”.

Spam_Report_Q2_2017_32.png

Spójrz na baner blokowania strony: wyświetla adres URL w Punycode. Jednak w przeglądarce widzimy coś innego. Adres ten z pewnością nie jest domeną będącą własnością dobrze znanej firmy.   

Spam_Report_Q2_2017_33.png

Pod względem technicznym adres ten całkowicie różni się od oryginału. Phisherzy stosowali różne kodowania w nazwach stron już wcześniej. Jednak w przypadku zwykłych użytkowników, rozpoznanie tego rodzaju phishngu może być problemem.      

Ataki na użytkowników Ubera

Jedną z szeroko nagłośnionych w mediach historii w II kwartale był atak na użytkowników Ubera. Strony phishingowe rozprzestrzeniano za pośrednictwem wysyłek spamowych; odbiorcom oferowano dużą obniżkę w przypadku wypełnienia formularza „rejestracyjnego”, w którym oprócz danych personalnych należało podać swoje informacje dotyczące karty bankowej. Po wypełnieniu kwestionariusza użytkownik był przekierowywany na legalną stronę firmy.     

Ponieważ Uber prowadzi promocje i oferuje zniżki, użytkownicy są mniej skłonni wątpić w autentyczność oferty.  

Spam_Report_Q2_2017_34.png

3 najczęściej atakowane organizacje

Oszuści nadal skupiają swoją uwagę głównie na najpopularniejszych bankach, zwiększając swoje szanse na skuteczny atak phishingowy. Ponad połowa wszystkich wykryć przy użyciu heurystycznego komponentu antyphishingowego firmy Kaspersky Lab dotyczy stron phishingowych ukrywających się pod nazwami niespełna 15 firm.  

Organizacja

% wykrytych odsyłaczy phishingowych

Facebook

8,33

Microsoft Corporation

8,22

Yahoo!

8,01

Trzeci kwartał z rzędu nie odnotowaliśmy zmian jeśli chodzi o trójkę najczęściej wykorzystywanych przez phisherów organizacji. W pierwszym kwartale strony phishingowe najczęściej wykorzystywały markę Yahoo! Jednak w drugim kwartale organizacja ta spadła na trzecią pozycję, ustępując miejsca Facebookowi (8,33%) oraz Microsoftowi (8,22%).        

Jedna ze sztuczek phisherów polega na umieszczaniu stron popularnych organizacji w domenach należących do innych popularnych organizacji. Przykład poniżej pokazuje odsyłacz do darmowego serwisu hostingowego i chociaż nie wszyscy użytkownicy będą wiedzieli, co to jest, wzmianka o Google sprawi, że będą bardziej skłonni sądzić, że mają do czynienia z prawdziwą stroną.   

Spam_Report_Q2_2017_35.png

Rzeczywisty formularz danych jest zwykle umieszczony w innej domenie, na którą użytkownik zostaje przeniesiony po kliknięciu przycisku.

Zakończenie

W II kwartale średni udział spamu w globalnym ruchu e-mail wynosił 56,97%, jedynie o 1,07 punktu procentowego więcej niż w poprzednim kwartale. Jedno z najgłośniejszych wydarzeń tego kwartału – epidemia WannaCry – nie umknęła uwadze spamerów: liczne masowe wysyłki zawierały oferty pomocy w zwalczaniu oprogramowania ransomware jak również różne warsztaty i szkolenia dla użytkowników.      

W drugim kwartale najpopularniejszą rodziną szkodliwego oprogramowania był JS.SLoad (8,73%), podczas gdy na drugim miejscu (3,31%) uplasował się inny downloader - MSWord.Agent. Pierwszą trójkę zamknęła rodzina trojanów Fareit Fareit (3,29%).        

System antyphishingowy zapobiegł ponad 46,5 miliona próbom odwiedzenia stron phishingowych na komputerach użytkowników rozwiązań firmy Kaspersky Lab. Łącznie, 8,26% unikatowych użytkowników produktów Kaspersky Lab zostało zaatakowanych przez phisherów w II kwartale 2017 r. Wyraźnie widać, że we wcześniejszych atakach oszuści liczyli na nieostrożność użytkowników oraz słabe „obycie” z Internetem. Jednak w miarę nabywania coraz większej biegłości cybernetycznej przez użytkowników, phisherzy muszą wymyślać nowe sztuczki, takie jak umieszczanie stron phishingowych w domenach będących własnością znanych organizacji.