Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin: Ewolucja spamu 2009

Tagi:

Elena Bondarenko
Daria Gudkowa
Maria Namiestnikowa

  1. Kaspersky Security Bulletin 2009. Ewolucja szkodliwych programów
  2. Kaspersky Security Bulletin 2009. Statystyki
  3. Kaspersky Security Bulletin: Ewolucja spamu

Podsumowanie roku

  • W 2009 roku odsetek spamu w ruchu pocztowym wynosił średnio 85,2%.
  • Największym spamerem były Stany Zjednoczone (16%). Do głównych źródeł spamu należały również kraje azjatyckie. Odsetek wiadomości phishingowych w ruchu pocztowym wynosił 0,86%.
  • Zainfekowane załączniki znaleziono w 0,85% e-maili.
  • Największy wpływ na rozkład kategorii spamu wywarł kryzys gospodarczy.
  • W obrębie spamu rozpowszechnione były oszustwa SMS.
  • Po raz pierwszy spam zawierał odsyłacze do filmików na YouTube.
  • W celu obejścia filtrów spamerzy po raz kolejny stosowali zniekształcenia obrazu.
  • Spamerzy nadal ulepszali wykorzystywanie HTML-a w celu zamaskowanie odsyłaczy w wiadomościach spamowych.
  • Spamerzy nadal wykorzystywali najświeższe wydarzenia oraz nazwiska znanych osób do zwabienia użytkowników Internetu.
  • Spamerzy wykorzystali popularność portali społecznościowych.

Odsetek spamu w ruchu pocztowym w 2009 roku

Odsetek spamu w ruchu pocztowym wynosił w 2009 roku średnio 85,2%, czyli o 3,1% więcej niż rok wcześniej. Najwyższy odsetek spamu (93%) został odnotowany 22 lutego, najniższy natomiast 26 kwietnia (72,8%).

gud_ksb_spam09_pic01_en.png

Odsetek spamu w ruchu pocztowym w 2009 roku

W ciągu roku różnica w miesięcznym udziale procentowym spamu w ruchu pocztowym utrzymała się w granicach 5%. Średni miesięczny odsetek wahał się od 82,6% (grudzień) do 87,2% (luty). W drugiej połowie roku odsetek spamu był bardziej stabilny, a w lipcu i sierpniu różnica nie przekroczyła 2,5%. Podobnie jak rok wcześniej, ilość spamu zmniejszyła się w grudniu. W 2008 roku różnica w udziale procentowym spamu była znacznie większa: odsetek spamu wahał się od 73,7% go 90,7% w różnych miesiącach. Czy to oznacza, że poziom spamu w ruchu pocztowym ustabilizował się na poziomie 85% - czas pokaże.

Źródła spamu

gud_ksb_spam09_pic02_en_s.png enlarge.gif

Źródła spamu

W 2009 roku Stany Zjednoczone stanowiły główne źródło spamu w rosyjskim Internecie. Na drugim miejscu uplasowała się Rosja, natomiast na trzecim Brazylia. W 2008 roku w czołówce spamerów znajdowała się Rosja, Stany Zjednoczone i Hiszpania. Jak już wspomnieliśmy wcześniej, w 2009 roku mniej spamu pochodziło z Europy Zachodniej, więcej natomiast z krajów Azji i Ameryki Łacińskiej.

Poniższy wykres pokazuje zmiany w trendach rozprzestrzeniania spamu w różnych państwach w 2009 roku:

gud_ksb_spam09_pic03_en_s.png enlarge.gif

Źródła spamu (trendy w spamie według kwartału)

Wykres pokazuje gwałtowny wzrost liczby wiadomości wysyłanych ze Stanów Zjednoczonych. Warto zauważyć, że wzrost ten nastąpił w tym samym czasie co skok liczby zainfekowanych amerykańskich domen, o którym wspominaliśmy w trzecim raporcie kwartalnym firmy Kaspersky Lab.

Spam według kategorii

gud_ksb_spam09_pic04_en_s.png enlarge.gif

Rozkład spamu według kategorii, 2009

Pięć najpopularniejszych kategorii spamu w 2009 roku:

  1. Lekarstwa oraz produkty i usługi związane ze zdrowiem - 18,9% (-4,7% w porównaniu z 2008 rokiem)
  2. Edukacja - 15,9% (+3,9%)
  3. Usługi reklamy elektronicznej- 11,7% (+6,8%)
  4. Inne towary i usługi- 11,2% (-4,9%)
  5. Podrabiane towary luksusowe - 8,5% (-0,6%)

W przeciwieństwie do udziału procentowego spamu, nastąpiły znaczące przetasowania w kategoriach spamu.

gud_ksb_spam09_pic05_en_s.png enlarge.gif

Rozkład kategorii spamu w pierwszej połowie 2009

gud_ksb_spam09_pic06_en_s.png enlarge.gif

Rozkład kategorii spamu w drugiej połowie 2009 roku

Jak widać na diagramach, w drugiej połowie roku kategoria Edukacja podwoiła swój udział w spamie, a udział kategorii Podróże i turystyka zwiększył się pond 2,5 razy. Swoją pozycję stracili natomiast liderzy pierwszej połowy roku.

Spam w czasach kryzysu

Kształtowanie się kryzysu gospodarczego można prześledzić na podstawie fluktuacji w różnych kategoriach spamu w 2009 roku. Jak już pisaliśmy wcześniej, od początku kryzysu miał miejsce spadek ilości spamu reklamującego towary i usługi dla sektora SMB przy jednoczesnym wzroście ilości spamu przestępczego i reklamującego usługi spamerów.

Odsetek spamu w sektorze rzeczywistej gospodarki zaczął spadać w sierpniu 2008 roku (mimo że w ciągu roku miały miejsce również wzrosty ilości spamu) i tendencja ta utrzymała się do maja 2009 roku - gdy kryzys osiągnął punkt krytyczny. Wiązało się to z faktem, że na skutek kryzysu klienci tego rodzaju spamu - reprezentujący małe i średnie przedsiębiorstwa - zostali wyparci z rynku lub obcięli wydatki na reklamę i zaprzestali zamawiania spamu. Spamerzy zaczęli aktywnie poszukiwać nowych klientów. Ilość reklam oferujących usługi spamerskie w niechcianych wiadomościach masowych gwałtownie wzrosła i w kwietniu 2009 osiągnęła poziom 19,7%, chociaż wcześniej nigdy nie przekroczyła 4-5%.

Dopóki starzy klienci nie zaczęli wznawiać swoich zamówień, spamerzy musieli wymyślić, w jaki sposób mogą płacić za utrzymywanie serwerów i opłaty botnetowe. Skorzystali z tak zwanych programów partnerskich lub stowarzyszonych.

Internetowe programy partnerskie są formą marketingu internetowego, powszechnie wykorzystywanego w SEO (search engine optimization - serii działań podjętych w celu poprawy pozycji strony internetowej w wynikach wyszukiwania przy użyciu przeglądarki internetowej) oraz w promowaniu towarów i usług. Celem programów partnerskich jest przyciągnięcie klientów z innych stron internetowych. Działają w następujący sposób: partner umieszcza na własnej stronie baner lub odsyłacz do strony klienta. Jeżeli osoba odwiedzająca stronę partnera kliknie taki odsyłacz i dokona zakupu, partner otrzyma część zysku zarobionego przez sklep. W niektórych przypadkach, partnerzy dokonają płatności, nawet jeśli potencjalny nabywca jedynie odwiedzi stronę internetową klienta.

Umowy partnerskie są obecnie bardzo popularne wśród przestępczych biznesów internetowych. Za pośrednictwem takich programów sprzedawane są bez recepty lekarstwa, które muszą być przepisane przez lekarza, oraz podrabiane luksusowe towary i tanie oprogramowanie. Takie podejście marketingowe jest również powszechne w branży pornograficznej: partner będzie miał udział w zysku od każdego użytkownika, który odwiedzi stronę internetową. Co więcej, oszuści stosują podobne metody, aby zwabić użytkowników Internetu na strony internetowe z fałszywym oprogramowaniem antywirusowym oraz na strony, których właściciele zarabiają pieniądze na oszustwie wykorzystującym wiadomości tekstowe.

Spamer, który należy do programu partnerskiego, nie otrzymuje zapłaty za każdy milion wysłanych e-maili, ale za każdego klienta, który dokona zakupów po otrzymaniu wiadomości spamowej.

Wykres poniżej pokazuje wyraźny związek pomiędzy ilością spamu generowanego w ramach programów partnerskich (w takich kategoriach, jak Lekarstwa oraz towary i usługi związane ze zdrowiem, Podrabiane towary znanych projektantów, Treści dla dorosłych, Komputery i Internet) oraz tradycyjnego spamu, za który klient płaci spamerom od wysyłek reklamujących jego towary lub usługi (dla następujących kategorii spamu: Edukacja, Inne towary i usługi, Podróżowanie i turystyka, Nieruchomości, Usługi prawne i audytowi oraz Usługi drukarskie). Widzimy również, że spamerzy reklamowali swoje własne usługi, gdy nie mieli wystarczająco dużo zamówień.

gud_ksb_spam09_pic07_en_s.png enlarge.gif

Odsetek tradycyjnego spamu, spamu generowanego w ramach programów partnerskich oraz spamu reklamującego usługi spamerów

Procesy zaznaczone na wykresie można łatwo porównać z rozwojem kryzysu finansowego. Z reguły, firmy, które zamawiają spam poprzez program partnerski, to duże struktury przestępcze, w przeciwieństwie do sektora SMB, który zwykle składa bezpośrednie zamówienia na wysyłki spamowe. Jak widać na wykresie, w okresie od lutego do maja ilość tradycyjnego spamu zmniejszyła się, osiągając najniższy poziom w maju. Według ekspertów, maj jest również miesiącem, w którym kryzys osiągnął punkt krytyczny. Od maja 2009 roku ilość spamu reklamującego towary i usługi oferowane przez sektor SMB zaczęła wzrastać, podczas gdy ilość spamu wygenerowanego w ramach programów partnerskich odnotowała spadek, podobnie jak ilość reklam usług spamerskich. W grudniu wszystkie te wskaźniki mniej więcej powróciły do poziomu sprzed kryzysu.

Oszukańczy spam

W drugiej połowie 2009 roku ilość spamu z kategorii Oszustwa komputerowe znacznie wzrosła.

gud_ksb_spam09_pic08_en.png

Kategoria spamu Oszustwa komputerowe w 2009 roku

Kategoria ta zawiera również spam phishingowy, tzw. szwindel nigeryjski, fałszywe powiadomienia o wygranych na loterii, oszustwa za pośrednictwem wiadomości tekstowych oraz inne rodzaje oszustw.

Phishing

Ilość wiadomości e-mail zawierających odsyłacze phishingowe znacznie spadła wiosną 2009 roku. Eksperci szacują, że kryzys osiągnął punkt krytyczny właśnie wiosną. Wzrost liczby e-maili phishingowych nastąpił w czasie, gdy światowa gospodarka zaczęła wychodzić z kryzysu, czyli w sierpniu 2009 roku. Średni odsetek wiadomości w ruchu pocztowym wynosił 0,86%. Przewidywaliśmy, że trudny klimat gospodarczy spowoduje wzrost aktywności phisherów. Jednak nasze prognozy okazały się błędne. Wygląda na to, że osoby stosujące socjotechnikę doszły do wniosku, że w okresie kłopotów finansowych użytkownicy będą mniej skłonni ryzykować swoje oszczędności. Gdy kryzys zaczął słabnąć, ludzie prawdopodobnie mieli więcej środków do dyspozycji i nie byli już tacy ostrożni. Naturalnie, trzeba również pamiętać, że każdy projekt phishingowy wymaga pewnych nakładów, dlatego łatwiej jest przeprowadzić go w bardziej korzystnych warunkach gospodarczych.

gud_ksb_spam09_pic09_en.png

Liczba e-maili z odsyłaczami phishingowymi w ruchu pocztowym

W 2009 roku PayPal znów był najczęściej atakowaną organizacją. Szkodliwi użytkownicy nadal skupiali się na elektronicznych systemach płatności. Drugim pod względem liczby ataków zasobem był internetowy system aukcyjny eBay.

Na trzecim i czwartym miejscu znalazły się odpowiednio główne amerykańskie banki, takie jak Bank of America i Chase. Chase znalazł się w piątce najczęściej atakowanych organizacji już drugi rok z rzędu za sprawą dużych, ale krótkotrwałych ataków przeprowadzonych przez szkodliwych użytkowników. W 2009 roku najwięcej ataków na tę organizację miało miejsce w sierpniu.

gud_ksb_spam09_pic10_en_s.png enlarge.gif

Organizacje atakowane przez phisherów w 2009 r.

Od późnego lata zaczęło pojawiać się wiele różnych rodzajów e-maili phishingowych skierowanych do użytkowników popularnej gry MMORPG World of Warcraft. Zainteresowanie szkodliwych użytkowników wzbudziły również konta na portalach społecznościowych. Pod koniec roku głównym celem phisherów stał się Facebook.

W ostatnich miesiącach 2009 roku ilość phishingu w ruchu pocztowym niemal powróciła do poziomu ze stycznia.

Oszustwa SMS w spamie

Oprócz phishingu, tzw. szwindlu nigeryjskiego oraz fałszywych powiadomień o wygranych na loterii kategoria Oszustwa komputerowe zawierała również wiadomości, których nadawcy próbowali namówić odbiorców do wysłania kosztownych wiadomości tekstowych na numer o podwyższonej opłacie. Użytkownicy, którzy padli ofiarą takiego oszustwa, z reguły nie otrzymali obiecanych usług, mimo że ich konta zostały obciążone wysoką kwotą. Ten rodzaj spamu jest typowy dla Rosji i Ukrainy, nie występuje jednak w innych państwach. W innych państwach proces wydzierżawiania lub inny sposób uzyskiwania krótkich numerów jest o wiele bardziej złożony. Osoby chcące uzyskać krótki numer muszą dostarczyć szczegółowe informacje osobowe, co pozwala odsiać spamerów i pociągnąć ich do odpowiedzialności.

W poprzednim roku, gdy sztuczka ta dopiero zaczynała być stosowana, oszuści wykorzystywali klasyczne metody socjotechniki: informowali odbiorcę, że coś wygrał, grozili zamknięciem konta lub oferowali "tanie" porno. W 2009 roku pojawiły się bardziej twórcze taktyki, stosowane w celu przekonania użytkowników do wysłania wiadomości tekstowych, niekiedy z przedziwnymi tematami. /p>

Do najgorętszych tematów należały “audionarkotyki" oraz możliwość zlokalizowania osób za pośrednictwem ich telefonów komórkowych.

Pierwszy temat wabi użytkowników plikiem mp3, który rzekomo może wprowadzić słuchacza w odmienny stan świadomości, podobny do tego, jaki mogą wywołać narkotyki. W drugim oszuści obiecują ustalić lokalizację osoby na podstawie jej numeru telefonu.

Dla wszystkich tych usług spamerzy sugerują, żeby użytkownicy płacili poprzez wiadomość tekstową. Jednak koszt wiadomości jest znacznie wyższy, niż twierdzą (co jest typowe dla oszustwa z wiadomościami tekstowymi).

Po bliższym przyjrzeniu się obie usługi okazały się fałszywe. Prasa wielokrotnie ostrzegała, że plik te nie są w stanie wprowadzić nikogo w odmienny stan świadomości. Jednak pociągnięcie winnych do odpowiedzialności jest trudne, ponieważ na ich stronach internetowych znajduje się specjalna sekcja "Zasady" (zwykle jest ona trudna do odnalezienia i zawiera mało czytelny tekst napisany bardzo małą czcionką i w jasnym kolorze) zawierająca informacje o usługach lub ich braku oraz rzeczywistych kosztach wysłania wiadomości tekstowych.

Poniżej przykład typowej wiadomości spamowej oferującej usługi lokalizacji osób:

gud_ksb_spam09_pic11_en_s.png enlarge.gif

[tekst widniejący na obrazku powyżej:
Witam! Rozpoczęliśmy nowy projekt, dzięki któremu możesz wyśledzić dowolnego abonenta telefonii komórkowej przy użyciu Internetu. Kliknij, aby dowiedzieć się więcej.
[odsyłacz]
Z poważaniem, YANDEX&RAMBLER]

W sekcji "Zasady" na stronie oszusta znajduje się poniższy tekst:

Zrzeczenie się praw (a) Użytkownik korzysta z tego serwisu na własne ryzyko. Usługi są dostarczane Użytkownikowi w postaci "takiej jak są". Korzystanie z usług nie gwarantuje żadnej odpowiedzialności ze strony dostawcy serwisu, włączając bez ograniczeń, odpowiedzialności za zgodność wyników z zapytaniem Użytkownika. (b) Strona internetowa jest grą, której celem jest dostarczenie rozrywki. Wszystkie informacje zawarte na Stronie są fikcyjne i nie powinny być traktowane poważnie.

W sekcji “Zasady" możemy również przeczytać, że wiadomości tekstowe wysyłane w celu dokonania płatności za takie usługi kosztują prawie 10 dolarów.

W niektórych przypadkach, spamerzy proszą użytkownika, aby wysłali nie jedną, ale trzy kosztowne wiadomości, w zamian za uzyskanie dostępu do płatnych zasobów. Mimo wysłania wiadomości użytkownik otrzymuje odsyłacz do stron internetowych, które są darmowe.

Obecnie wielu dostawców telefonii komórkowej dostarcza na żądanie informacje o kosztach wysyłania wiadomości tekstowych na dowolny numer o podwyższonej opłacie. Usługa ta może pomóc ustrzec się przed oszustwem. Jednak korzystają z niej tylko ostrożni użytkownicy - tacy, którzy i tak nie daliby się na nabrać na takie oszustwo. Co więcej, dostawcy usług telefonii komórkowej dopiero zaczynają zajmować stanowisko wobec oszustw.

Na razie użytkownicy są zdani na siebie, muszą być ostrożni i sprawdzać koszty wiadomości tekstowych wysyłanych na krótkie numery. Naturalnie nigdy nie należy również wierzyć w to, co jest napisane w wiadomości spamowej.

Rodzaje i rozmiar wiadomości spamowych

gud_ksb_spam09_pic12_en.png

gud_ksb_spam09_pic13_en.png

Rozkład różnych rodzajów wiadomości spamowych w pierwszej i drugiej połowie 2009 roku

Rozkład różnych rodzajów wiadomości spamowych był stosunkowo stabilny. Tak jak wcześniej, dominowały wiadomości e-mail wykorzystujące czysty tekst - a ich odsetek znajdował się w ciągu roku na niemal niezmiennym poziomie 45-46%.

Spam wykorzystujący tekst/HTML znalazł się na drugim mocnym miejscu, jeszcze bardziej umacniając swoją pozycję w drugiej połowie roku, gdy jego odsetek wzrósł z 31,6% do 39,1%.

Nastąpiły pewne zmiany jeżeli chodzi o graficzne załączniki. W pierwszej połowie 2009 roku niekwestionowanym liderem wśród rożnych rodzajów spamu graficznego były wiadomości e-mail wykorzystujące obrazy JPEG. W połowie roku odsetek wiadomości spamowych wykorzystujących obrazy JPEG zaczął spadać, aż w końcu ustąpił miejsca obrazom w formacie GIF.

Wynika to z faktu, że spamerzy często wolą obrazy w formacie GIF dla grafiki, która zawiera sam tekst.

Na przykład, obraz poniżej składa się z trzech załączników graficznych: pierwszy z nich to zdjęcie w formacie JPEG ukazujące sportowca i pigułki, natomiast dwa kolejne są w formacie GIF i zawierają tekst czarno biały ("We respect your rights…") i szary ("If you wish…").

gud_ksb_spam09_pic14_en_s.png enlarge.gif

gud_ksb_spam09_pic15_en_s.png enlarge.gif

gud_ksb_spam09_pic16_en_s.png enlarge.gif

W rozkładzie wiadomości spamowych według rozmiaru nie odnotowaliśmy żadnych poważniejszych zmian:

gud_ksb_spam09_pic17_en.png

Rozmiar wiadomości spamowych

Prawie połowę spamu nadal stanowią niewielkie wiadomości spamowe o rozmiarze nie większym niż 5 KB. Przeważająca większość z nich to krótkie e-maile zawierające czysty tekst lub HTML. Wśród nich znajduje się garstka maili zawierających grafikę, mających rozmiar nieprzekraczający 5KB, takich jak poniższy obraz:

gud_ksb_spam09_pic18_en_s.png enlarge.gif

[tekst znajdujący się na obrazie:
Ekipa doświadczonych robotników do remontu twojego mieszkania! Od prac kosmetycznych po pełne prace remontowe w stylu europejskim o dowolnym stopniu trudności. Wszelkie rodzaje napraw, prac remontowych oraz budowlanych.
Elektryka, hydraulika, malowanie, drzwi, kafelkowanie, posadzkowanie itd.
Gwarantowana jakość, rozsądne ceny.
Na wszystkie rodzaje prac dajemy rok gwarancji.
Zadzwoń na numer: [numer]]

Metody i sztuczki spamerów

W 2009 roku główną innowacją w spamie było wykorzystanie portalu YouTube w spamie wideo. W październiku na YouTubie znaleźliśmy kilka wysyłek mailowych zawierających odsyłacze do reklam. Wszystkie z nich promowały usługi spamerów.

gud_ksb_spam09_pic19_en.png

Mimo że była to nowa technika filtry spamowe nie miały problemu z identyfikacją takich wysyłek spamowych. Masowa wysyłka zawierała jedynie garstkę odsyłaczy do różnych reklam (wykryliśmy nie więcej niż 10). Poza tym nietrudno zablokować wysyłki, które wykorzystują ten sam adres URL.

Pod koniec roku spamerzy zastosowali kolejną interesującą, aczkolwiek wcale nie nową, sztuczkę - do wiadomości spamowych dołączyli pliki mp3. Po odtworzeniu tego pliku słychać było przyjemny damski głos czytający nazwę strony internetowej, na której można kupić Viagrę. Nazwa i producent ścieżki również wskazywały na stronę spamera. W tle pliku dźwiękowego słychać było odgłosy ciężko oddychającej kobiety.

gud_ksb_spam09_pic20_en.png

Spamerzy nadal wykorzystywali i usprawniali niektóre z taktyk stosowanych w poprzednich latach.

Jedna z nich polegała na zapisie oferty promocyjnej i/lub informacji kontaktowych przy pomocy samego HTML-a - bez liter oraz obrazów. Co prawda nie jest to nowa metoda, jednak w 2009 roku została ulepszona. Wiadomość zwiera tabelkę z dużą liczbą komórek. Niektóre z nich są puste, inne wypełnione czarnym kolorem. Przy pomocy kombinacji pustych i kolorowych komórek spamerzy tworzyli wybrany przez siebie tekst.

Wcześniej spamerzy również wykorzystywali tabele ze stosunkowo dużą liczbą komórek, w efekcie otrzymując niezgrabne, dziwacznie wyglądające litery i liczby:

gud_ksb_spam09_pic21_en.png

W 2009 roku doszli do wniosku, że jeżeli będą wykorzystywali tabele składające się z cienkich komórek, tekst stanie się wyraźniejszy. W rezultacie powstawał tekst taki jak ten w mailu poniżej:

gud_ksb_spam09_pic22_en.png

Kolejną techniką, która została zmodyfikowana w 2009 roku, było wykorzystywanie obrazów ze zmiennym tłem. Aby uniemożliwić filtrom spamowym rozpoznawanie wiadomości wykorzystywanych w wysyłkach spamowych jako identycznych reklam oraz identyfikowanie tekstu użytego w obrazach jako typowych słów kluczy wykorzystanych w spamie, w 2006 roku spamerzy zaczęli stosować "zaszumione" tła w obrazach zawierających ciemne kropki, plamy, a czasami kształty geometryczne w różnych lokalizacjach. Ucierpiał na tym wygląd wiadomości, podobnie jak jej czytelność. W tym czasie tego typu wiadomość zwykle wyglądała tak:

gud_ksb_spam09_pic23_en.png

W 2009 roku spamerzy połączyli “zaszumione" obrazy z większą dbałością o wygląd wiadomości. Zamiast chaotycznych dekoracji zaczęli wykorzystywać atrakcyjne kobiety w tle. Aby uzyskać dużą liczbę opcji tego samego obrazu, obraz był rozbijany na kilka części. Podczas przeglądania w przeglądarce wszystkie te części łączyły się w całość, a użytkownikowi ukazywała się atrakcyjna postać:

gud_ksb_spam09_pic24_en.png

Na początku metoda ta była stosowana w angielskojęzycznych reklamach zabiegów medycznych, jednak niedługo po tym wykorzystywano ją również w rosyjskojęzycznym spamie zawierającym treści dla dorosłych:

gud_ksb_spam09_pic25_en.png

Podobne metody były stosowane już w 2006 roku, następnie po okresie przerwy powróciły do łask spamerów.

Inną taktyką stosowaną w spamie graficznym jest zniekształcanie tekstu reklamy, tak aby była pofalowana.

gud_ksb_spam09_pic26_en.png

Również ta metoda została najpierw przetestowana, a następnie powszechnie wykorzystywana w angielskojęzycznych reklamach lekarstw, a kilka miesięcy później była również stosowana w spamie rosyjskojęzycznym:

gud_ksb_spam09_pic27_en.png

Spamerzy lubią również wykorzystywać przykuwające uwagę tematy nawiązujące do kontrowersyjnych wydarzeń i nazwisk znanych osób publicznych..

W 2009 roku osobą, na której spamerzy żerowali najczęściej, był amerykański prezydent Barack Obama. Jego nazwisko było powszechnie wykorzystywane po inauguracji, która miała miejsce 20 stycznia 2009 r., oraz stanowiło częsty temat wiadomości spamowych przez cały rok. Nazwisko Obamy pojawiało się również w sensacyjnych nagłówkach, szantażu i nigeryjskim szwindlu.

Poniższy e-mail nosi tytuł “Terrible Obama's disease" [Straszna choroba Obamy] i reklamuje Viagrę:

gud_ksb_spam09_pic28_en_s.png enlarge.gif

Spamerzy nie przepuścili również okazji wykorzystania tematu świńskiej grypy. Wiadomości, których tematy oferowały lekarstwa, w rzeczywistości zawierały odsyłacze do kanadyjskich aptek sprzedających Viagrę. W klimacie paniki związanej z wirusem, która swój punkt krytyczny osiągnęła we wrześniu 2009 roku, spamerzy wymyślili nawet takie oferty, takie jak nieistniejąca szczepionka oraz maseczki ochronne przed grypą.

E-mail poniżej oferował hurtową sprzedaż maseczek medycznych:

gud_ksb_spam09_pic29_en.png

Osoba Michela Jacksona została wykorzystana przez spamerów niedługo po jego śmierci 25 czerwca. Wysyłki spamowe zawierały odsyłacze do stron zainfekowanych szkodliwym oprogramowaniem. Kampanie spamowe wykorzystujące nazwisko zmarłego piosenkarza były prowadzone przez całe lato i dłużej.

Użytkownicy Internetu nadal otrzymują spam z ofertami zakupu jednego z kostiumów Michaela Jacksona lub wydanego pośmiertnie albumu. Jeszcze w listopadzie Kaspersky Lab otrzymał wiadomość spamową z tematem "Michael żyje! Obejrzyj dowód" oraz odsyłaczem do strony internetowej zawartym w treści wiadomości:

gud_ksb_spam09_pic30_en.png

Odsyłacz prowadził do trojana o nazwie Trojan.Script.Iframer.

Oczywiście spamerzy wykorzystywali również wiele innych tematów: święta (zaczynając od 8 marca w Rosji, a kończąc na Dniu Dziękczynienia obchodzonym w Stanach Zjednoczonych i Kanadzie), mecze kwalifikacyjne do Pucharu Świata 2010 oraz premiery hitów kinowych.

Spam a portale społecznościowe

Spam rozpowszechnił się na portalach społecznościowych i blogach. Jeżeli społeczność nie jest moderowana lub nie wyłączono funkcji anonimowych komentarzy, ilość spamu otrzymywanego za pośrednictwem blogów i portali społecznościowych może być olbrzymia.

Na popularności portali społecznościowych korzystają nawet spamerzy wysyłający swoje oferty za pośrednictwem poczty elektronicznej. Po pierwsze, dostajemy różne powiadomienia e-mailowe zawierające spam. Po drugie, spamerzy wykorzystują portale społecznościowe i blogi jako kolejną "arenę" do umieszczania tych samych reklam, do których prowadzą odsyłacze zawarte w e-mailach. Takie wiadomości spamowe reklamują nowe, nieznane portale społecznościowe, które często okazują się serwisami randkowymi.

W celu obejścia filtrów i przyciągnięcia uwagi użytkowników spamerzy często wykorzystują nazwy znanych portali społecznościowych i serwisów blogowych - fałszywe powiadomienie z portalu społecznościowego będzie sprawiało wrażenie bardziej wiarygodnego. Dość powszechne są również ataki phishingowe na portale społecznościowe mające na celu uzyskania dostępu do kont użytkowników. Z reguły celem tego rodzaju ataków są najpopularniejsze portale, takie jak Facebook i Twitter.

W poniższej wiadomości phishingowej odbiorca jest proszony o uaktualnienie swojego konta na Facebooku poprzez kliknięcie zawartego w mailu odsyłacza. W rzeczywistości jednak odsyłacz prowadzi do strony należącej do szkodliwych użytkowników, na której odwiedzający proszeni są o wprowadzenie swojego loginu i hasła do konta:

gud_ksb_spam09_pic31_en_s.png enlarge.gif

Oprócz oszustw phishingowych do rozprzestrzeniania wirusów wykorzystywane były również fałszywe wiadomości z niezwykle popularnego serwisu Twitter.

To fałszywe zaproszenie z Twittera kryje załącznik w postaci pliku ZIP zawierający wirusa:

gud_ksb_spam09_pic32_en_s.png enlarge.gif

Jak widać, spam e-mailowy oraz spam rozprzestrzeniany za pośrednictwem portali społecznościowych są ściśle ze sobą związane. Przy pomocy spamu e-mailowego można włamać się na konto użytkownika na portalu społecznościowym. Ponadto, jeżeli użytkownik kliknie zainfekowany odsyłacz, jego komputer może zostać zainfekowany i stać się częścią botnetu wykorzystywanego do rozsyłania jeszcze większej ilości spamu za pośrednictwem portali społecznościowych. Spam e-mailowy wykorzystuje nazwy znanych portali społecznościowych i używa ich jako platformy do promowania ich towarów i usług.

Szkodliwe oprogramowanie w ruchu pocztowym

Poniższy wykres pokazuje aktywność wysyłek spamowych z zainfekowanymi załącznikami na przestrzeni dwóch ostatnich lat. Jak widać, wzrost aktywności nastąpił pod koniec roku zarówno w 2008 roku, jak i 2009. Kolejne wzmożenie aktywności obserwowaliśmy w marcu 2008 roku, jednak w okresie od lutego do sierpnia 2009 roku ilość spamu z zainfekowanymi załącznikami utrzymywała się na poziomie 0,4% i poniżej.

gud_ksb_spam09_pic33_en.png

Ilość wiadomości spamowych z zainfekowanymi załącznikami w 2008 i 2009 r.

W 2009 roku wzrost ilości zainfekowanego spamu nastąpił jesienią i w przeważającej mierze miał związek z wiadomościami e-mail zawierającymi Zbota (trojana spyware stworzonego w celu kradzieży poufnych informacji użytkownika), który był zamaskowany jako powiadomienie od organów podatkowych, oraz wiadomościami e-mail, za pośrednictwem których szkodliwi użytkownicy rozprzestrzeniali rodzinę trojanów FraudLoad. Trojany z tej rodziny instalowały na komputerze użytkownika różne fałszywe rozwiązania antywirusowe (FraudTools). Następnie szkodliwi użytkownicy wyłudzali pieniądze od niczego niepodejrzewających użytkowników, oferując im wyleczenie lub usunięcie rzekomego szkodliwego oprogramowania na ich komputerach.

Wykres poniżej pokazuje 10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w 2009 roku:

gud_ksb_spam09_pic34_en_s.png enlarge.gif

10 najpopularniejszych szkodliwych programów w 2009 r.

W 2009 roku, podobnie jak rok wcześniej, na prowadzeniu znajdowała się rodzina Iframe. Trojan-Clicker.HTML.IFrame.abn jest szkodliwym programem mającym postać dokumentu HTML zawierającego skrypt wykonujący nieautoryzowane żądania do zainfekowanej strony pod adresem http://ddhj.2288.org/d[****]2.htm bezpośrednio z HTML-owej wersji e-maila lub z załącznika HTML. Trojan-Clicker.HTML.IFrame.abn jest jedynym przedstawicielem platformy HTML w 2009 roku - wszystkie pozostałe szkodliwe programy wykonują się na popularniejszej platformie Win32.

Drugie i siódme miejsca na liście 10 najpopularniejszych programów zajmują przedstawiciele rodziny FraudLoad: Trojan-Downloader.Win32.FraudLoad.epb oraz Trojan-Downloader.Win32.FraudLoad.wspk. We wrześniu ponad połowa wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem spamu należała do rodziny FraudLoad.

Trzecią i szóstą pozycję zajmują szkodliwe programy spakowane przy użyciu dwóch wariantów pakera Krap: Packed.Win32.Krap.ah oraz Packed.Win32.Krap.w, które najczęściej wykorzystywane były do pakowania Zbota oraz fałszywych programów antywirusowych. Packed.Win32.Krap.w jest również wykorzystywany do pakowania Iksmasa i Bredolaba.

Niesławny Trojan-Downloader.Win32.Murlo.cba. uplasował się na czwartej pozycji w ogólnej klasyfikacji dla 2009 roku, natomiast we wrześniowym zestawieniu zajął pierwsze miejsce.

Tak jak spodziewaliśmy się, w pierwszej dziesiątce znalazły się również dwa warianty Zbota: Trojan-Spy.Win32.Zbot.zur oraz Trojan-Spy.Win32.Zbot.gen.

Ósme, dziewiąte i dziesiąte miejsca zajęły warianty backdoora Small: Backdoor.Win32.Small.zs oraz Backdoor.Win32.Small.zo.

Najbardziej zaskakującym trendem w rozprzestrzenianiu się szkodliwego oprogramowania w 2009 roku były fałszywe e-maile, będące rzekomo oficjalnymi powiadomieniami, z załączonym archiwum ZIP. Największa z takich kampanii została przemyślana w taki sposób, aby wiadomości wyglądały na powiadomienia wysłane przez DHL lub UPS.

Jednak te dwie organizacje nie były jedynymi, których nazwy były wykorzystywane przez spamerów do rozprzestrzeniania szkodliwych programów. "Oficjalne powiadomienie" były również wysyłane przez spamerów, którzy rzekomo reprezentowali Western Union oraz FedEx, jak również wiele sklepów internetowych, w których użytkownicy zakupili w przeszłości różne kosztowne produkty.

Wiadomości te miały podobną strukturę, co sugerowało że mogły pochodzić od tego samego nadawcy. Nasze podejrzenia wzrosły jeszcze bardziej, gdy otrzymaliśmy następujący e-mail:

gud_ksb_spam09_pic35_en_s.png enlarge.gif

W tym przypadku spamer dopuścił się zaniedbania, pozwalając, aby organizacja wymieniona w temacie maila nie zgadzała się z tą, o której była mowa w treści wiadomości.

Osoby stosujące socjotechnikę wykorzystywały również fałszywe kartki okolicznościowe rzekomo pochodzące od znanej firmy Hallmark oraz innych podobnych serwisów, aby nakłonić użytkowników do pobrania szkodliwych programów.

gud_ksb_spam09_pic36_en_s.png enlarge.gif

Naturalnie, w celu rozprzestrzeniania szkodliwego oprogramowania spamerzy nawiązywali w tematach wiadomości do gorących newsów, takich jak śmierć "Króla Popu", uruchomienie Wielkiego Zderzacza Hadronów czy debiut systemu Windows 7. Zainfekowane e-maile zawierały najczęściej odsyłacz do strony internetowej zainfekowanej szkodliwym oprogramowaniem, a nie załącznik.

Przykładem może być poniższa wiadomość z “sensacyjnym" tematem zawierającym oskarżenia dotyczące najnowszej publikacji Microsoftu. W treści wiadomości znajduje się zainfekowany odsyłacz prowadzący do trojana downloadera:

gud_ksb_spam09_pic37_en.png

Wnioski

Rok 2009 był rokiem kryzysu finansowego i dla wielu firm był to bardzo trudny okres. Kryzys odczuli również spamerzy, którzy w połowie roku odnotowali znaczny spadek liczby otrzymanych zamówień. Jednak ilość spamu w uchu pocztowym nie zmniejszyła się, ponieważ spamerzy zmienili taktykę i zaczęli aktywnie uczestniczyć w programach partnerskich. Ponadto, ilość spamu w ruchu pocztowym na przestrzeni roku stanowiła pewnego rodzaju wskaźnik kryzysu, pozwalając nam sformułować pewne prognozy dotyczące spamu w przyszłości.

W 2009 roku szczególnie wysoka była ilość spamu reklamującego usługi spamerskie - 20% całego ruchu spamowego. W ten sposób spamerzy chcieli przyciągnąć nowych klientów w kryzysie.

Co ciekawe, w ruchu pocztowym wykryliśmy tylko kilka wiadomości phishingowych: w krytycznym okresie kryzysu ilość tego rodzaju spamu znacznie spadła.

Liczba szkodliwych programów w spamie nie zmieniła się znacząco w porównaniu z 2008 rokiem, zmiany nastąpiły natomiast w rodzajach zainfekowanych wiadomości. Jednym z najczęściej wykorzystywanych rodzajów szkodliwego oprogramowania były trojany pobierające fałszywe programy antywirusowe.

Przez cały rok spamerzy aktywnie pracowali nad zwiększeniem jakości swoich reklam oraz próbowali utrudnić ich wykrywanie przez filtry spamowe. Jednocześnie starali się, aby ich reklamy były atrakcyjne dla użytkowników Internetu. Oprócz tradycyjnych metod wykorzystywali również technologie multimedialne, takie jak pliki audio oraz odsyłacze do filmów wideo na portalu YouTube.

Największym spamerem w 2009 roku były Stany Zjednoczone. Jednocześnie źródła spamu przesunęły się w kierunku państw Azji i Ameryki Łacińskiej. Przyczyną może być stały wzrost liczby komputerów i szerokopasmowych połączeń internetowych w tych państwach połączony z brakiem świadomości zagrożeń internetowych. W rezultacie, komputery w tych krajach mogą zostać łatwiej zainfekowane przez szkodliwe oprogramowanie i włączone do botnetu.

Wykorzystywanie filmów lub plików audio w spamie prawdopodobnie nie będzie tak bardzo rozpowszechnione: w tym przypadku kompromis między rozmiarem wiadomości, obejściem filtrów oraz sprawieniem, aby wiadomości były atrakcyjne dla użytkowników, nie działa na korzyść spamerów. Ci ostatni nadal będą wykorzystywali sprawdzone taktyki. Możemy się również spodziewać, że spamerzy nadal będą wykorzystywali portale społecznościowe, na których ilość spamu może znacznie wzrosnąć.

Źródło:
Kaspersky Lab