Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w czerwcu 2011 wg Kaspersky Lab


Maria Namiestnikowa
Ekspert z Kaspersky Lab

spam_report.png

Czerwiec w liczbach

  • Ilość spamu w ruchu e-mail wzrosła o 0,4 punkty procentowe w porównaniu z majem i wynosiła średnio 83,3%.
  • Odsetek wiadomości phishingowych pozostał niezmieniony w porównaniu z majem i stanowił 0,02% całego ruchu pocztowego.
  • Szkodliwe pliki zostały wykryte w 3,8% wszystkich wiadomości, co stanowi spadek o 0,3 punktów procentowych w porównaniu z majem.

Spam na świeczniku

Spam a prawo

Microsoft nadal walczy z Rustockiem

Niedawno firma Microsoft zwarła szyki z amerykańskimi organami ścigania, podpisując tym samym, jak się okazało, wyrok śmierci na botnet spamowy Rustock.

Pisaliśmy już o tym w raporcie spamowym za marzec. W skrócie, centra kontroli tego botnetu zostały zamknięte 16 marca i przez następne kilka dni miał miejsce znaczny spadek ilości spamu.

Jednak Microsoft postanowił pójść dalej. Wpis na blogu tej firmy z 6 czerwca informuje, że Microsoft opublikował ogłoszenia w rosyjskich gazetach Delevoy Petersburg oraz The Moscow News skierowane do obywateli rosyjskich podejrzanych o stworzenie i administrację Rustocka. Microsoft poinformował, że wszczął postępowanie sądowe w Stanach Zjednoczonych przeciwko niezidentyfikowanym sprawcom działającym w Sieci pod nickiem Cosma2k. Firma wyjaśniła, że wykorzystując określone adresy IP oraz domeny sprawcy stworzyli botnet, który został wykorzystany do uzyskania nieautoryzowanego dostępu do komputerów osób trzecich, naruszenia praw własności intelektualnej, rozpowszechniania niechcianej korespondencji za pośrednictwem masowych wysyłek, wyrządzając szkody zarówno firmie Microsoft, jak i innym nieokreślonym podmiotom. Microsoft domaga się zablokowania dostępu do tych adresów IP i domen oraz zamknięcia botnetu. Ponadto, osoby pozywające zwróciły się do sądu o podjęcie innych stosownych kroków.

W swoim ogłoszeniu Microsoft nie wymienił nazwisk osób podejrzanych o związki z botnetem Rustock. Można je jednak znaleźć na stronie noticeofpleadings.com, którą Microsoft stworzył jako platformę dla publikacji związanych z Rustockiem.

W ogłoszeniu Microsoft ostrzega również, że jeżeli pozwani nie stawią się w sądzie, wyrok zostanie automatycznie wydany na korzyść strony pozywającej. Na blogu możemy ponadto przeczytać, że firma będzie nadal “ścigała” sądownie organizatorów botnetu, jeżeli nie stawią się w sądzie, włączając w to wszczęcie dochodzenia sądowego w Rosji.

Życzymy kolegom z Microsoftu powodzenia. Nic nie jest w stanie powstrzymać pozostających na wolności twórców botnetów przed stworzeniem kolejnej, potężnej sieci. Pod tym względem działania Microsoftu są logiczne – samo zamknięcie centrów kontroli nie wystarczy, aby wyeliminować botnety. Trzeba podjąć wszelkie możliwe środki, aby uniemożliwić cyberprzestępcom stworzenie nowego botnetu

Legislacja w Japonii

W naszych raportach spamowych regularnie informujemy o inicjatywach legislacyjnych dotyczących spamu podjętych w różnych krajach. Każda przyjęta ustawa stanowi krok milowy w walce ze spamem.

W czerwcu japoński parlament uchwalił ważną ustawę, zgodnie z którą tworzenie, dystrybucja, zakup i przechowywanie szkodliwych programów, jak również dystrybucja spamu pornograficznego, stanowi przestępstwo.

Inicjatywa ta odbiła się głośnym echem w mediach.

Głośne sprawy w Rosji

Jak na razie w Rosji nie istnieją żadne ustawy antyspamowe, mimo że, jak na ironię, kilku największych na świecie spamerów rezyduje właśnie w tym kraju.

Jednak brak regulacji prawnych nie przeszkodził rosyjskim organom ścigania w podjęciu wysiłków schwytania osób odpowiedzialnych za masowe wysyłki i wniesieniu przeciwko nim oskarżeń... z tytułu innych przestępstw.

W 2007 roku rosyjski programista Leonid Kuwajew został ogłoszony spamerem nr jeden (przypisuje mu się odpowiedzialność za znaczącą ilość niechcianej poczty e-mail rozprzestrzenianej za pośrednictwem Internetu). Kuwajew jest ponadto uważany za “wynalazcę” spamu graficznego. W 2005 roku sąd w Stanach Zjednoczonych, gdzie spamer mieszkał przez 14 lat, orzekł, że Kuwajew jest przywódcą gangu spamerów, i umieścił go na liście osób poszukiwanych. Wcześniej jednak Leonid wyjechał ze Stanów i zamieszkał w Rosji, pozostając poza zasięgiem amerykańskich organów ścigania.

Kuwajew najprawdopodobniej zaczął ukrywać się w Rosji w nadziei, że brak ustaw antyspamowych zapewni mu bezkarność. Być może tak by się stało, gdyby nie był jednocześnie podejrzewany o inne przestępstwo. 7 czerwca odbyło się pierwsze przesłuchanie Leonida Kuwajewa pod zarzutem przestępstw seksualnych na nieletnich. Od 2009 roku pozostaje w areszcie policyjnym.

Jednak to, że Kuwajew znajduje się w więzieniu, nie oznacza, że jego biznes jest “martwy”. Jeden z największych programów dystrybucji spamu farmaceutycznego, Mailien, który prawdopodobnie należy do Kuwajewa, nadal rozprzestrzeniał niechciane wiadomości e-mail za pośrednictwem Internetu i przynosił mu zyski jeszcze długo po aresztowaniu.

23 czerwca na lotnisku Szeremietiewo aresztowano innego obywatela rosyjskiego podejrzewanego o związki z programami zajmującymi się rozprzestrzenianiem spamu farmaceutycznego – Pawła Wrublewskiego. Jednak zatrzymanie to nie miało związku z jego działalnością spamerską. Dzień wcześniej w Internecie pojawiły się doniesienia o tym, że pod koniec maja otwarto sprawę sądową dotyczącą ataków DDoS przeprowadzonych w lipcu 2010 roku na największy rosyjski system płatności elektronicznych Assist. Osoba zidentyfikowana jako Igor Artimowicz przyznała się do udziału w tych atakach i wskazała Pawła Wrublewskiego, szefa ChronoPay, jako osobę, która zleciła ten atak.

Paweł Wrublewski jest uważany za założyciela dużego programu partnerskiego zajmującego się rozprzestrzenianiem spamu farmaceutycznego - rx-promotion.

Jesienią 2010 roku wszczęto postępowanie sądowe przeciwko Igorowi Gusewowi, założycielowi innego programu partnerskiego o nazwie Glavmed, posiadającego związki z programem partnerskim SpamIt. Gusew jest oskarżany o nielegalne praktyki biznesowe.

Tematy miesiąca

W naszych raportach spamowych i wpisach na blogu regularnie wskazujemy globalne wydarzenia wykorzystywane przez spamerów do przyciągania uwagi użytkowników. W ten sposób chcemy przypomnieć, że oszuści mogą wykorzystać do swoich niegodziwych celów każdą informację.

W czerwcu spamerzy wykorzystywali ostatnią część filmu o przygodach Harrego Pottera, oferując darmowe bilety na seans. Ponadto, oszukańcze e-maile nadal żerowały na wiadomości o śmierci Osamy bin Ladena.

Jednak największa ilość spamu wykorzystywała jako wabik rocznicą śmierci Michaela Jacksona.

Spamerzy upamiętniają Michaela Jacksona

Michael Jackson zmarł 25 czerwca 2009 roku. Od tego czasu pojawiło się wiele wiadomości spamowych, w których twierdzono, że król popu wciąż żyje.

W zeszłym miesiącu cały świat, łącznie ze spamerami, wspominał artystę przy okazji drugiej rocznicy jego śmierci.

Chińscy spamerzy reklamowali na przykład kolekcje utworów Jacksona – coś, na co mieli dużą szansę złapać jego fanów.

Poniżej przedstawiamy przykładowy angielskojęzyczny spam zawierający te same sensacyjne twierdzenia, które pojawiały się na przestrzeni ostatnich dwóch lat:

 enlarge.gif

Pod tekstem znajdował się odsyłacz do stron zawierających szkodliwy plik Backdoor.Win32.mIRC-based, który umożliwia cyberprzestępcom zdalną kontrolę nad zainfekowanym komputerem.

Korzystając z okazji, chcielibyśmy po raz kolejny przypomnieć użytkownikom, że powinni zachować szczególną ostrożność i nie “ufać” pochodzącym z wątpliwych źródeł e-mailom wykorzystującym głośne newsy.

Podsumowanie statystyk

Źródła spamu

W czerwcu Indie utrzymały pozycję największego źródła spamu, odpowiadając za 16,35% całkowitej ilości niechcianej poczty e-mail (co stanowi wzrost o 5%).

 enlarge.gif
Źródła spamu w czerwcu 2011 r.

Na siódmym miejscu znalazła się Rosja, która w porównaniu z majem odnotowała spadek ilości wysyłanego spamu na poziomie 0,7%.

W czerwcu najbardziej znaczący wzrost (4,36%) oraz 2 miejsce w rankingu odnotowała Brazylia, z której pochodziło 11,22% całkowitej ilości spamu. Z kolei ilość spamu wysyłanego z Korei Południowej zmniejszyła się o 2,63%, przez co państwo to spadło o jedną pozycję w rankingu i uplasowało się na trzecim miejscu.

Ilość spamu pochodzącego z Polski po raz kolejny zmniejszyła się - z 2,3% do 1,8%. W rezultacie Polska spadła z 12 na 14 miejsce w rankingu największych źródeł niechcianych wiadomości e-mail.

Szkodliwe oprogramowanie w ruchu pocztowym

W czerwcu szkodliwe pliki zostały wykryte w 3,8% wszystkich wiadomości e-mail, co stanowi spadek o 0,3% w porównaniu z poprzednim miesiącem.

Rosja i Stany Zjednoczone utrzymały pozycje państw, w których najczęściej wykrywano szkodliwe oprogramowanie w ruchu pocztowym. Na pierwszym miejscu uplasowała się Rosja, na drugim Stany Zjednoczone – jednak w obu tych państwach odsetek zablokowanych wiadomości e-mail zawierających szkodliwe odsyłacze zmniejszył się nieznacznie.

 enlarge.gif
Państwa, w których moduł ochrony poczty najczęściej wykrywał szkodliwe oprogramowanie w czerwcu 2011 r.

Na trzecim miejscu, podobnie jak miesiąc wcześniej, znalazł się Wietnam, który odnotował prawie 1% wzrost w stosunku do maja.

Największe zmiany w ilości zablokowanych e-maili zawierających szkodliwe załączniki odnotowały Włochy, które zajęły czwarte miejsce w rankingu. Szkodliwe pliki zostały wykryte w 6,6% wszystkich e-maili, co stanowi wzrost o 1,5 punktu procentowego w porównaniu z majem.

Poza wymienionymi wyżej nie odnotowaliśmy żadnych innych znaczących zmian w rankingu 10 państw, w których najczęściej wykrywano szkodliwe oprogramowanie.

Lista 10 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem ruchu pocztowego w czerwcu 2011 roku przedstawia się następująco:

 enlarge.gif
10 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem ruchu pocztowego w czerwcu 2011 r.

Cztery najpopularniejsze szkodliwe programy nie zmieniły się.

7,6% szkodliwych plików wykrytych w zablokowanych wiadomościach e-mail należało do trojana Trojan-Spy.HTML.Fraud.gen, długotrwałego lidera tego zestawienia.

Robaki pocztowe Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt oraz Email-Worm.Win32.NetSky.q zajęły odpowiednio 2, 4 i 9 miejsce. Wszystkie te szkodniki to weterani zestawienia. Jak już wspominaliśmy w raportach, Mydoom.m oraz NetSky.q to szkodniki, których jedyną funkcją jest gromadzenie adresów e-mail i wysyłanie na nie swoich kopii. Bagle.gt to również robak pocztowy, jednak o bardziej wyrafinowanej funkcjonalności: szkodnik ten nie tylko zbiera adresy i wysyła swoją kopię na wszystkie adresy przechwycone z maszyny ofiary, ale również sam pobiera szkodliwe programy z zasobów internetowych.

Na trzecim miejscu po raz kolejny uplasował się Trojan.HTML.Fraud.fc, który stanowił nowość w kwietniowym rankingu 10 najczęściej rozprzestrzenianych szkodliwych programów w ruchu pocztowym. Szkodnik ten przyjmuje postać phishingowej strony HTML stworzonej w celu kradzieży poufnych informacji finansowych brazylijskich użytkowników.

Phishing

W czerwcu odsetek wiadomości phishingowych nie zmienił się w stosunku do poprzedniego miesiąca i stanowił 0,02% całego ruchu pocztowego.

 enlarge.gif
10 organizacji najczęściej atakowanych przez phisherów w czerwcu 2011 r.

Wygląda na to, że w czerwcu spamerzy stracili zainteresowanie grami online. W zestawieniu Top 10 utrzymała się tylko stanowiąca majową nowość gra RuneScape, która uplasowała się na 6 miejscu - 2,1% wszystkich ataków phishingowych było skierowanych na użytkowników tej gry (co stanowi spadek o 2,57 punktu procentowego). World of Warcraft całkowicie zniknął z rankingu. Jak już wspominaliśmy, jest to najprawdopodobniej rezultat wysiłków zespołu Blizzarda podjętych w celu zapewnienia ochrony swoim użytkownikom.

Znacznie wzrósł odsetek ataków na Habbo (+6,25%) oraz Facebooka (+4,07%). Te dwa portale społecznościowe odzyskały 3 i 4 miejsce w rankingu.

W czerwcu phisherzy po raz kolejny skupili się na Google’u. Warto zaznaczyć, że podany odsetek ataków na użytkowników Google’a nie zawiera statystyk dotyczących należącego do tej firmy portalu społecznościowego Orkut. Odsetek ataków na ten portal społecznościowy stanowił 0,8%, co po uwzględnieniu ataków na inne serwisy tej firmy daje w sumie pond 2,5% ataków phishingowych na Google’a.

Spam według kategorii

 enlarge.gif

Prawie jedna trzecia wszystkich anglojęzycznych wiadomości spamowych (29%) należała do kategorii “Oszustwa komputerowe”. Użytkownicy powinni traktować to jako ostrzeżenie, aby zachować czujność podczas korzystania z Internetu. Oznacza to bowiem, że znaczna ilość spamu, który trafił do skrzynek, została wysłana z zamiarem wyłudzenia pieniędzy od użytkowników (np. spam “nigeryjski” lub wiadomości phishingowe) lub zawierała szkodliwy załącznik lub odsyłacz do szkodliwego kodu.

Ponad jedna czwarta anglojęzycznych wiadomości spamowych należała do kategorii spam farmacuetyczny. Takie oferty tworzą popyt: każdego dnia wysyłane są miliardy wiadomości proponujących Viagrę, co sugeruje, że mimo ostrzeżeń dużych firm z branży bezpieczeństwa IT oraz ekspertów od zdrowia produkt ten wciąż znajduje nabywców. Użytkownicy zdecydowanie nie powinni “ufać” masowo wysyłanym ofertom farmaceutycznym: podrabiane specyfiki medyczne z pewnością nie poprawią nam zdrowia. Chcielibyśmy również przestrzec tych, którzy korzystają z ofert tanich “kanadyjskich” aptek, że wraz z medykamentami cyberprzestępcy często rozprzestrzeniają szkodliwy kod. Odwiedzając strony, które rzekomo sprzedają lekarstwa, użytkownik może łatwo zainfekować swój komputer.

Oprócz wymienionych wyżej najpopularniejszych kategorii spamu w pierwszej piątce znalazła się również kategoria “Osobiste finanse” (12,1%) obejmująca spam oferujący szybki zarobek i wątpliwe pożyczki, “Inne towary i usługi” (9,6%) oraz “Podrabiane towary znanych projaktantów” (5,3%).

Wnioski

Wbrew naszym przewidywaniom fałszywe programy antywirusowe nie powróciły do ruchu pocztowego na długo. W czerwcowym rankingu 10 najczęściej wykrywanych szkodliwych programów w ruchu pocztowym nie pojawił się ani jeden reprezentant tej rodziny.

Spodziewamy się, że w najbliższej przyszłości wiadomości phishingowe będą wykorzystywały nowy portal społecznościowy Google+. Na razie korzystanie z tego portalu wymaga otrzymania zaproszenia. Cyberprzestępcy już żerują na chęci przynależności do tej zamkniętej społeczności, wysyłając fałszywe zaproszenia, które zawierają odsyłacze do stron phishingowych i szkodliwego kodu.

Źródło:
Kaspersky Lab