Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w II kwartale 2011 r.


Daria Gudkowa, ekspert z Kaspersky Lab
Maria Namiestnikowa, ekspert z Kaspersky Lab

klp_spam_q2.pngOprogramowanie Kaspersky Anti-Spam chroni użytkowników na całym świecie. Laboratorium antyspamowe Kaspersky Lab przetwarza codziennie ponad milion wiadomości e-mail przechwytywanych przez sieć specjalnych komputerów-pułapek. Filtrowanie zawartości, analiza nagłówków, unikatowe sygnatury graficzne, technologie chmury oraz analitycy pracujący 24 godziny na dobę i 7 dni w tygodniu dbają o to, by użytkownicy byli bezpieczni.



Podsumowanie

  1. W II kwartale 2011 roku udział spamu w ruchu pocztowym nadal wzrastał i wynosił średnio 82,5%.
  2. Udział wiadomości spamowych pochodzących z Azji i Ameryki Łacińskiej przekroczył 60% ogółu spamu.
  3. Odsetek e-maili zawierających szkodliwe załączniki nadal zwiększał się i wynosił średnio 3,86%, przy czym największy odsetek szkodliwego oprogramowania w poczcie został wykryty w Rosji, Stanach Zjednoczonych oraz Wietnamie.
  4. Udział wiadomości phishingowych pozostaje niski (0,02%), jednak phishing staje się coraz bardziej ukierunkowany.
  5. Spam nadal zawiera wiele fałszywych powiadomień od popularnych zasobów, w tym także z “chmury”.
  6. Podczas gdy w Rosji toczą się dyskusje nad ustawami antyspamowymi, Japonia wprowadziła ustawę, zgodnie z którą rozprzestrzenianie spamu pornograficznego stanowi przestępstwo.

Ewolucja spamu

Od prywatnej korespondencji do oficjalnych powiadomień

Poczta elektroniczna istnieje już od dobrych „paru lat”, jednak ostatnio jej popularność słabnie. Po tym, jak użytkownicy zaczęli korzystać z portali społecznościowych, Web 2.0, usługi SMS, a ostatnio technologii chmury, coraz rzadziej wysyłamy wiadomości za pośrednictwem starych dobrych e-maili. Rozmawiamy przez komunikatory internetowe, dzielimy się naszym życiem na blogach, nawiązujemy przyjaźnie za pośrednictwem portali społecznościowych i dyskutujemy w chmurze. Jaka rola pozostaje skromnej poczcie elektronicznej? Odsyłacze do serwisów hostujących zdjęcia, powiadomienia od portali społecznościowych (zaproszenia do grona przyjaciół, udziału w dyskusji czy obejrzenia nowych zdjęć), korespondencja od banków, sklepów internetowych i firm kurierskich czy zaproszenia do przeczytania dokumentów „w chmurze”. Można powiedzieć, że obecnie poczta elektroniczna służy głównie jako narzędzie do powiadamiania.

Spamerzy zawsze chcą być na bieżąco. Świadczy o tym coraz większa ilość spamu imitującego wymienione wyżej rodzaje powiadomień. Kiedyś fałszywe powiadomienia były zarezerwowane dla phishingu oraz e-maili ze szkodliwymi załącznikami; dzisiaj ten trend najwyraźniej objął również inne rodzaje spamu.

Poniżej znajduje się fałszywe powiadomienie z Facebooka zawierające odsyłacz do szkodliwej strony:

 enlarge.gif

Kolejne powiadomienie, tym razem wykorzystujące wizerunek Twittera i zawierające odsyłacz do strony farmaceutycznej:

 enlarge.gif

Poniżej fałszywe powiadomienie z YouTube’a, które przekierowuje użytkowników na inną stronę farmaceutyczną:

 enlarge.gif

Stojący za tymi powiadomieniami spamerzy próbują, wykorzystując popularność niektórych portali, upiec dwie pieczenie na jednym ogniu: oszukać użytkowników i jednocześnie obejść filtry antyspamowe. Im nowszy i ciekawszy portal, tym atrakcyjniejszy dla spamerów. Jakby na potwierdzenie tych słów, nawet podczas pisania tego artykułu natrafiliśmy na fałszywe powiadomienia od uruchomionego niedawno projektu Google+.

 enlarge.gif

Spam “w chmurze”

Wraz z rozwojem technologii chmury pojawiły się liczne darmowe usługi. W II kwartale 2011 roku spamerzy zaczęli wykorzystywać takie usługi w chmurze i tym samym nastąpił nowy etap w ewolucji spamu.

Niektóre wiadomości e-mail zawierały odsyłacze do stron Google Docs, które z kolei przekierowywały użytkowników na strony farmaceutyczne lub strony oferujące podrabiane zegarki znanych projektantów. /p>

Poniżej przykład wiadomości e-mail zawierającej odsyłacz do Dokumentów Google:

 enlarge.gif

Przestępcy wykorzystywali również Google Spreadsheets (Arkusze kalkulacyjne) do umieszczania swoich stron phishingowych.

Poniżej przykład wiadomości e-mail zawierającej odsyłacz do Arkuszy kalkulacyjnych Google.

 enlarge.gif

Odsyłacz w wiadomości powyżej prowadził do strony Arkuszy kalkulacyjnych Google, na której użytkownicy byli proszeni o wprowadzenie swoich danych osobowych:

 enlarge.gif

Formularz został stworzony w taki sposób, aby po kliknięciu przez użytkownika przycisku “Submit” jego dane osobowe zostały wysłane do zasobu osoby trzeciej, tj. do phisherów.

Usługa ta oferuje cyberprzestępcom darmowe miejsce do umieszczania swoich fałszywych stron. Co więcej, użytkownicy są mniej podejrzliwi wobec takich stron, ponieważ: po pierwsze, są zlokalizowane w popularnym zasobie; po drugie, połączenie jest dokonywane za pośrednictwem protokołu HTTPS, który obsługuje szyfrowanie.

Spam oraz socjotechnika

Technika może się zmieniać, jest jednak jedna rzecz, która pozostaje taka sama – socjotechnika. /p>

W drugim kwartale 2011 roku spamerzy stosowali tradycyjne metody w celu zwabienia użytkowników na swoje strony, żerując na takich medialnych newsach jak królewski ślub w Wielkiej Brytanii czy śmierć Osamy bin Ladena. Należy przy tym zaznaczyć, że spamerzy wykazali się pewną kreatywnością: wśród prawdziwych historii pojawiło się kilka zmyślonych.

Ponadto, spamerzy wykorzystali uświęconą tradycją sztuczkę polegającą na wysyłaniu fałszywej spersonalizowanej korespondencji:

 enlarge.gif

Spam i prawo

W drugim kwartale 2011 roku miało miejsce kilka wydarzeń dotyczących spamu i organów ścigania.

13 maja zespół roboczy Komitetu ds. Technologii Informatycznych i Komunikacji wspólnie z Rosyjskim Stowarzyszeniem ds. Komunikacji Elektronicznej przedłożył Rosyjskiej Dumie projekt ustawy o zwalczaniu tworzenia i rozprzestrzeniania spamu. Proponowana ustawa podaje definicję spamu i wprowadza istotne ograniczenia, takie jak wymóg wcześniejszej zgody użytkownika na otrzymywanie wiadomości wysyłanych masowo oraz możliwość wypisania się z listy mailingowej. Zawiera również obowiązek wyraźnego podania nazwy organizacji odpowiedzialnej za masowe wysyłki oraz zakaz wykorzystywania automatycznych narzędzi do gromadzenia adresów e-mail. Co istotne, ustawa proponuje uznanie wysyłania niechcianych wiadomości e-mail za przestępstwo. Jednak niektórzy prawnicy twierdzą, że projekt ustawy nie precyzuje, kto będzie odpowiedzialny za ściganie i formułowanie oskarżeń wobec spamerów.

Pod koniec czerwca na froncie prawnym miało miejsce jeszcze jedno istotne wydarzenie. Moskiewski sąd wydał nakaz aresztowania Pawła Wrublewskiego, prezesa ChronoPay oraz, według niektórych ekspertów, właściciela sieci afiliacyjnej Rx-promotions, która specjalizuje się w rozprzestrzenianiu spamu farmaceutycznego. Wrublewski został oskarżony o zorganizowanie ataku DDoS na elektroniczny system płatniczy Assist, który zablokował system rezerwacji online Aeroflot - największych rosyjskich linii lotniczych. Paradoksalnie, Paweł Wrublewski był kiedyś szefem grupy roboczej Komisji Antyspamowej ustanowionej przez Ministerstwo Komunikacji Federacji Rosyjskiej./p>

Jak pisaliśmy ostatnio w naszym czerwcowym raporcie spamowym, po zamknięciu centrów kontroli Rustocka Microsoft zdecydował się pójść jeszcze dalej. Firma postanowiła zaskarżyć twórców tego botnetu. Według nas działania Microsoftu są uzasadnione, ponieważ, jak wynika z naszych statystyk, w miejsce zamkniętych botnetów cyberprzestępcy natychmiast zaczynają rozwijać nowe; jeżeli botmasterzy znajdą się za kratkami, cały proceder może zostać zachwiany.

Również w czerwcu japoński parlament uchwalił ważną ustawę, na mocy której tworzenie, dystrybucja, nabywanie i przechowywanie szkodliwych programów, jak również rozprzestrzenianie spamu pornograficznego stanowią przestępstwo.

Podsumowanie statystyk

Spam w ruchu pocztowym

Udział spamu w ruchu pocztowym nieustannie wzrasta. W II kwartale 2011 roku wynosił średnio 82,5%. Najmniejszy odsetek spamu został odnotowany 1 kwietnia (72,2%), największy natomiast 29 maja (91,4%).


Spam w ruchu pocztowym w II kwartale 2011 r.

Funkcjonalność botnetów, które zostały zamknięte w zeszłym roku i na początku tego roku, jest stopniowo przywracana. Są jednak widoczne zmiany w dystrybucji geograficznej maszyn zombie.

Źródła spamu według państwa

W drugim kwartale 2011 spam był wysyłany najaktywniej z państw rozwijających się: Indii (+4,26 proc.), Brazylii (+3,14 proc.) oraz Indonezji (+1,66 proc.). Polska znalazła się na 11 miejscu z wynikiem 2,5 proc.

 enlarge.gif
Źródła spamu w II kwartale 2011 r.

Indie utrzymały prowadzenie na liście 20 największych źródeł spamu, jednak w II kwartale udział tego państwa w całkowitej ilości spamu zwiększył się o ponad 4 punkty procentowe i wynosił 14,06%. Wzrost ten można łatwo wyjaśnić: w poprzednim kwartale 5,99% wszystkich zablokowanych wiadomości e-mail ze szkodliwymi załącznikami zarejestrowano w Indiach, co sugeruje, że botmasterzy zamierzali zainfekować komputery użytkowników i dodać je do swoich botnetów.

W 2011 roku zwiększył się również udział Brazylii w rozprzestrzenianym spamie, który osiągnął w czerwcu 9,56%. Ogółem w II kwartale Brazylia była odpowiedzialna za 8,94% spamu w skali globalnej, co pozwoliło jej przesunąć się na 2 miejsce w rankingu.

Na specjalną wzmiankę zasługuje znacząca zmiana pozycji Peru w rankingu (+2,4 proc.): państwo to awansowało na 6 miejsce i odpowiadało za 3,13% ogółu spamu – w poprzednim kwartale Peru nawet nie udało się dostać do pierwszej 20.

Jednocześnie udział Rosji zmniejszył się o 2,75% i w II kwartale wynosił 3,05%. Po zajęciu 2 miejsca w I kwartale 2011 roku Rosja spadła na 7 miejsce. Było to dość nieoczekiwane: Rosja była i nadal pozostaje państwem, w którym szkodliwe oprogramowanie jest najczęściej wykrywane w ruchu pocztowym. Szkodliwe programy, które użytkownicy otrzymują za pośrednictwem poczty elektronicznej, to w większości robaki. Niektóre z nich (np. Worm.Win32.AutoRun.cchs) zawierają funkcje przechwytujące komunikaty aplikacji, szukają dostępnych folderów sieciowych na zainfekowanej maszynie lub łączą się z określonymi adresami w Internecie. Tego rodzaju szkodliwe programy mogą być wykorzystywane do pobierania innych szkodników oraz przyłączania zainfekowanej maszyny do botnetu.

Istnieją dwa możliwe wyjaśnienia spadku pozycji Rosji w rankingu o pięć miejsc: albo rosyjscy użytkownicy chronią swoje komputery skuteczniej, uniemożliwiając botmasterom przejęcie nad nimi kontroli, albo botnety są wykorzystywane do innych celów, np. do przeprowadzania ataków DDoS. Ponadto, jak już wspominaliśmy wcześniej, wiele robaków pocztowych zostało wysłanych na rosyjskie konta e-mail. Celem większości z tych programów jest gromadzenie adresów e-mail, np. rodzina Email-Worm.Win32.Netsky, co oznacza, że cyberprzestępcy mogą znajdować się dopiero na początkowym etapie tworzenia botnetów i w najbliższej przyszłości Rosja może znaleźć się wśród trzech największych źródeł spamu.

Poziom spamu pochodzącego ze Stanów Zjednoczonych - zeszłorocznego lidera – nadal jest niski. W II kwartale 2011 roku państwo to uplasowało się na 16 pozycji, a jego udział w spamie wynosił 1,99%, co stanowi spadek o 1,01 proc.

Mimo zmian, jakie nastąpiły w rankingu największych źródeł spamu w drugim kwartale, w 2011 r. źródła spamu według państw rozkładają się bardziej równomiernie w stosunku do poprzedniego roku. Nie da się wyłonić absolutnych liderów i, w przeciwieństwie do poprzednich rankingów, pierwsza trójka nie jest odpowiedzialna za połowę światowego spamu. Maszyny zombie wykorzystywane do rozprzestrzeniania wiadomości spamowych są rozmieszczone dość równomiernie na całym świecie. Są zlokalizowane zarówno w Afryce Południowej, na dalekich wyspach na środku Pacyfiku jak i w krajach rozwiniętych. Taka dystrybucja źródeł spamu sygnalizuje koniec geograficznej ekspansji spamerów. Nie ma już obszarów „wolnych od botnetów”. Kraje rozwijające się przyciągają botmasterów ze względu na brak prawa antyspamowego oraz niski poziom bezpieczeństwa IT, z kolei kraje rozwinięte wabią szybkim, powszechnie dostępnym Internetem.

Po skutecznej kampanii antybotnetowej, jaka miała miejsce w 2010 roku, obecnie obserwujemy wzrost liczby botnetów, jednak ich rozmiary są stosunkowo niewielkie. Wśród nowych botnetów nie ma już zauważalnych „gigantów”, jakie istniały w przeszłości, takich jak na przykład Cutwail czy Rustock, które odpowiadały za lwią część ogółu spamu. Albo spamerzy nie mieli czasu zwiększyć „możliwości” botnetów, tak aby mogły wysyłać miliony wiadomości spamowych dziennie, albo celowo nie chcą inwestować wszystkich swoich zasobów w jeden botnet, dzięki czemu po zamknięciu jednego botnetu będą mogli łatwo przerzucić się na inny. Prowadzi to do jeszcze bardziej równomiernej dystrybucji zainfekowanych komputerów według państwa.

Źródła spamu według regionu

 enlarge.gif

 enlarge.gif
Źródła spamu według regionu

W czołówce rankingu największych źródeł spamu według regionu znalazły się Azja (+8,22 proc.) oraz Ameryka Łacińska (+5,55 proc.). Te dwa regiony odpowiadają za ponad 60% ogółu spamu. Jak już pisaliśmy we wcześniejszym raporcie, spamerzy próbują organizować nowe botnety w regionach, w których zarówno prawo jak i technologia zapewniają najmniejszą ochronę przed botnetami – takich jak Azja i Ameryka Łacińska.

Jednocześnie znacznie zmniejszył się udział Europy Wschodniej (-8,45 proc.). Niestety, wkrótce region ten może odnotować ponowny wzrost, ponieważ jest on bardzo atrakcyjny dla spamerów pod względem zarówno komputeryzacji jak i legislacji.

Wykres poniżej pokazuje dynamikę dystrybucji spamu w poszczególnych miesiącach. Wyraźnie widać korelację między kilkoma regionami, np. linie trendu dla Azji i Ameryki Łacińskiej są niemal równoległe. Jednocześnie, wartości szczytowe zarejestrowane w Europie Zachodniej zbiegają się z najniższymi wartościami w Azji i Ameryce Łacińskiej i na odwrót.

 enlarge.gif
Dynamika dystrybucji spamu według regionu (I i II kwartał 2011 r.)

Wspomniana korelacja między Azją i Ameryką Łacińską wynika z tego, że w obu tych regionach nie ma ani skutecznego prawa antyspamowego, ani niezawodnej ochrony IT. Spam pochodzący z tych regionów jest prawdopodobnie wysyłany z tych samych botnetów.

Spam według kategorii

Po zamknięciu dużych botnetów oraz zastąpieniu ich mniejszymi zaczęliśmy obserwować znaczące różnice w spamie w różnych częściach świata. W Rosji, na przykład, niemal zniknął tak zwany spam afiliacyjny: kategoria „Lekarstwa oraz towary i usługi związane ze zdrowiem” – wcześniej lider rankingu najpopularniejszych kategorii spamu – znalazła się w II kwartale na 8 miejscu (1,8%). Większość spamu w rosyjskim Internecie jest obecnie zamawiana przez małe i średnie przedsiębiorstwa. Kategoria „Edukacja”, która obejmuje reklamy różnych seminariów i szkoleń, pozostaje najpopularniejszą kategorią spamu.

Trzeba podkreślić, że odejście od spamu afiliacyjnego spowodowało zmiany w rozkładzie języków, w których tworzony jest spam – jako że prawie cały anglojęzyczny spam w rosyjskim Internecie stanowił spam afiliacyjny, teraz większość wiadomości spamowych jest w języku rosyjskim.

Wiadomości spamowe otrzymywane przez użytkowników w Europie Zachodniej i Ameryce najczęściej reklamują podrabiane produkty i usługi znanych projektantów. Kategoria ta stała się jeszcze bardziej popularna niż spam medyczny. Co więcej, francuskojęzyczne wysyłki zawierają wiele listów nigeryjskich. Spam afiliacyjny nie jest tak popularny.

Rozmiar wiadomości spamowych

W przeciwieństwie do poprzedniego kwartału, gdy popularne były w szczególności duże wysyłki, w II kwartale w ruchu spamowym dominowały małe i bardzo małe wiadomości (o rozmiarze mniejszym niż 1 KB). Odsetek wiadomości e-mail o rozmiarze powyżej 50 KB stanowił zaledwie 2,63% ogółu spamu.


Wiadomości spamowe według rozmiaru w II kwartale 2011 r.

Szkodliwe oprogramowanie w ruchu pocztowym

W II kwartale 2011 r. średni odsetek wiadomości e-mail zawierających szkodliwe załączniki zwiększył się o prawie 0,81 proc. i wynosił 3,86%.


Odsetek spamu ze szkodliwymi załącznikami w pierwszym kwartale 2011 r.

Jak wynika z wykresu powyżej, wzrost udziału wiadomości e-mail zawierających szkodliwe załączniki, który zaobserwowaliśmy w I kwartale, utrzymywał się od kwietnia do czerwca 2011 r.

W II kwartale 2011 r. udział szkodliwego oprogramowania wykrytego w wiadomościach e-mail w różnych państwach przedstawiał się następująco:

 enlarge.gif
Odsetek szkodliwego oprogramowania wykrywanego w poczcie e-mail w drugim kwartale 2011 r według państw.

Trzy państwa o najwyższym odsetku szkodliwego oprogramowania wykrytego w poczcie e-mail pozostały niezmienione. Szkodliwe załączniki były najczęściej wykrywane w poczcie e-mail otrzymywanej w Rosji (12,5%). Na drugim miejscu znalazły się Stany Zjednoczone z odsetkiem 12,21%, który zwiększył się o 1,8 proc. w porównaniu z I kwartałem. Trzecie miejsce zajął Wietnam z odsetkiem 7,43% (+0,46 proc.).

Indie spadły o 4 miejsca na 8 pozycję: w II kwartale odsetek szkodliwego oprogramowania wykrytego w ruchu pocztowym tego kraju zmniejszyła się o 1,33 proc. i wynosił 4,66% ogółu.

Co ciekawe, po proaktywnej kampanii antybotnetowej, która doprowadziła do zamknięcia największych botnetów w drugiej połowie 2010 r., ilość szkodliwego spamu dystrybuowanego przez indyjskich użytkowników wzrosła. Według nas, przyczyną było przywrócenie botnetów w krajach o słabiej rozwiniętej legislacji.

Spadek ilości szkodliwego oprogramowania wykrytego w ruchu pocztowym w Indiach w II kwartale sugeruje, że botmasterzy przywrócili zdolności swoich botnetów lub ich ekspansja na terytorium Indii została zahamowana.

Po zamknięciu Rustocka w marcu 2010 r. ilość spamu wysyłanego do Stanów Zjednoczonych nadal rosła, osiągając punkt szczytowy w kwietniu. Dynamikę wzrostu wyraźnie widać na wykresie poniżej.

 enlarge.gif
Aktywność wykrywania szkodliwego oprogramowania w poczcie e-mail w I i II kwartale 2011 r.

Wzrost ten wynika z tego, że Stany Zjednoczone pozostały atrakcyjnym przyczółkiem dla cyberprzestępców tworzących botnety. Jest to wysoce skomputeryzowany kraj z rzadko spotykanym w krajach rozwijających się powszechnym dostępem do szybkiego Internetu. Po zamknięciu centrów kontroli dużego botnetu cyberprzestępcy niemal od razu zaczęli tworzyć nowy botnet. Świadczą o tym zmiany w pierwszej dziesiątce najpopularniejszych szkodliwych programów wykrywanych przez nasze rozwiązania antywirusowe w Stanach Zjednoczonych.

W lutym większość szkodliwego oprogramowania wysłanego do tego kraju stanowiły szkodniki, których celem jest kradzież danych finansowych użytkownika (trojany bankowe) lub wyłudzanie pieniędzy (pornblockery i fałszywe programy antywirusowe). Jednak w marcu i kwietniu ponad połowę z 10 najpopularniejszych szkodliwych programów stanowiły trojany downloadery, które instalowały szkodliwe oprogramowanie na komputerze użytkownika i dodawały zainfekowane maszyny do botnetu.

Jednak w maju udział wysyłek spamowych ze szkodliwymi załącznikami adresowanych do użytkowników ze Stanów Zjednoczonych zmniejszył się. Spadek został również odnotowany w liczbie downloaderów instalujących boty na komputerach użytkowników.

10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego

Cztery z 10 najczęściej wykrywanych szkodliwych programów w poczcie elektronicznej należą do kategorii robaków pocztowych. Nie ma w tym nic dziwnego – po uruchomieniu się w ruchu pocztowym robak pocztowy nadal rozprzestrzenia się, nawet jeśli jego twórca stracił już nim zainteresowanie. Głównym celem robaków Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Mydoom.l oraz Email-Worm.Win32.Netsky.q jest przechwytywanie adresów e-mail (które są następnie wysyłane cyberprzestępcom) oraz rozprzestrzenianie się za pośrednictwem ruchu pocztowego. Funkcja czwartego robaka pocztowego w rankingu - Email-Worm.Win32.Bagle.gt – jest bardziej złożona. Nie tylko gromadzi adresy e-mail i rozprzestrzenia się za pośrednictwem ruchu pocztowego, ale również instaluje inne szkodliwe programy po przeniknięciu do komputera ofiary.

 enlarge.gif
10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego w II kwartale 2011 r.

W drugim kwartale 2011 r. Trojan-Spy.HTML.Fraud.gen utrzymał czołową pozycję na liście 10 najbardziej rozpowszechnionych szkodliwych programów w ruchu pocztowym. Trojan ten wykorzystuje technologię spoofingu i występuje w formie strony HTML. Jest rozprzestrzeniany w wiadomości phishingowej zawierającej odsyłacz do fałszywej strony przypominającej stronę znanego banku lub systemu płatności elektronicznych, na której użytkownik jest proszony o podanie loginu i hasła.

Innym szkodnikiem z pierwszej 10 stworzonym w celu kradzieży danych finansowych użytkowników jest Trojan.HTML.Fraud.fc. Jego funkcjonalność jest podobna do funkcjonalności programu Trojan-Spy.HTML.Fraud.gen. Szkodnik ten również występuje w formie strony HTML. Jego celem są prawdopodobnie brazylijscy użytkownicy, ponieważ imituje formularz rejestracyjny jednego z głównych banków brazylijskich.

W II kwartale 2011 r. spodziewaliśmy się wzrostu aktywności fałszywych programów antywirusowych, jednak nasze przewidywania nie sprawdziły się. Packed.Win32.Katusha.n był jedynym szkodnikiem z rankingu 10 najpopularniejszych, który miał jakikolwiek związek z tego typu programami. Szkodnik ten należy do rodziny programów wykorzystywanych do kompresowania innych szkodliwych programów – zwykle fałszywych programów antywirusowych.

Phishing

W drugim kwartale 2011 r. udział wiadomości phishingowych był niewielki i wynosił zaledwie 0,023% całego ruchu pocztowego. W maju i czerwcu utrzymywał się na niskim poziomie, nieznaczny wzrost odnotował jedynie w kwietniu, w którym wynosił średnio 0,03%.


Odsetek wiadomości phishingowych w ruchu pocztowym w II kwartale 2011r.

Najpopularniejszymi celami phisherów pozostają PayPal (+11,21 proc.) oraz eBay (-2,89 proc.).

 enlarge.gif
10 organizacji najczęściej atakowanych przez phisherów w II kwartale 2011 r.*

* Ranking jest tworzony w oparciu o liczbę phishingowych adresów URL w Internecie, przy pomocy których phisherzy próbują zdobyć loginy i hasła użytkowników do różnych serwisów online. Ranking nie jest wyznacznikiem poziomu bezpieczeństwa wymienionych wyżej organizacji – raczej ich popularności wśród użytkowników, co z kolei przekłada się na popularność wśród phisherów.

Na trzecim miejscu znalazł się Santander, który odpowiadał za 5,31% wszystkich ataków phishingowych - o 1,9 proc. więcej niż w poprzednim kwartale. Ogólnie, phisherzy nie wykazali dużego zainteresowania systemami bankowości online: wśród liderów zestawienia znalazł się tylko jeden z czterech popularnych wśród phisherów banków. HSBC i CHASE były atakowane rzadziej niż w pierwszym kwartale: HSBC spadł o trzy miejsca na 8 pozycję (-2,7 proc.), natomiast CHASE uplasował się na 19 miejscu.

Portale społecznościowe Habbo (-0,53 proc.) oraz Facebook (-0,3 proc.) zajęły odpowiednio 4 i 5 miejsce pod względem popularności wśród phisherów.

Mniej ataków w porównaniu z poprzednim kwartałem odnotował również World of Warcraft (1,96%). Za to w pierwszej 10 najpopularniejszych celów phishingowych pojawiła się inna gra online – RuneScape. Ta darmowa gra wyprzedziła nawet wymagającego subskrypcji World of Warcraft , zajmując 6 miejsce w rankingu i odpowiadając za 2,62% wszystkich ataków phishingowych.

Już drugi z kolei kwartał Google pozostał poza pierwszą dziesiątką. Jednak Orkut – portal społecznościowy należący do Google, uplasował się na 11 miejscu, a inne serwisy tej firmy znalazły się na 13 pozycji. Łączny odsetek ataków phishingowych na Orkuta i inne serwisy Google’a (3,04%) przewyższył liczbę ataków, których celem był RuneScape.

W najbliższej przyszłości spodziewamy się wzrostu liczby ataków na nowy portal społecznościowy Google’a - Google+. Na razie dostęp do niego wymaga zaproszenia, co wykorzystują cyberprzestępcy, którzy żerując na tym, że użytkownicy chcą należeć do zamkniętej społeczności, wysyłają fałszywe zaproszenia zawierające odsyłacze do stron phishingowych oraz szkodliwego kodu.

Nazwa Google pojawiła się również w związku z innym incydentem phishingowym. Na początku czerwca 2011 roku ujawniono, że chińscy hakerzy uzyskali dostęp do kont Google kilku wysokich rangą amerykańskich urzędników przy użyciu ataków typu “spear phishing”. Ataki takie charakteryzują się większym ukierunkowaniem niż typowy phishing. Ich celem jest grupa użytkowników stanowiących klientów określonego serwisu. Otrzymują oni dokładną kopię oficjalnego zawiadomienia wysyłanego przez taki serwis zawierającą odsyłacz do strony rejestracyjnej, która również jest idealną imitacją oryginału.

Przedstawiciele Chin zaprzeczają, jakoby obywatele tego państwa byli zamieszani w ten atak, i nazwali Google “narzędziem politycznym” wykorzystywanym przez Stany Zjednoczone do szargania reputacji Chin.

Warto podkreślić, że niektóre oszustwa typu “spear phishing” są znacznie bardziej wyrafinowane. Jesteśmy przyzwyczajeni do bezosobowej formy zwracania się do odbiorców wiadomości phishingowych, takich jak „Drogi użytkowniku” lub „Drogi kliencie”. Jednak w bardziej subtelnych formach tej metody wykorzystywane jest nazwisko odbiorcy, a nawet nazwa firmy, dla której pracuje lub z którą robi interesy. Użycie takich informacji usypia czujność użytkowników – wiadomość phishingowa wygląda jak oryginalne powiadomienie wysyłane przez dany serwis, a nawet zawiera nazwisko użytkownika. .

Spear phishing to stosunkowo nowy rodzaj ataków, którego celem są zarówno indywidualni użytkownicy jak i duże firmy, tak jak było to w przypadku RSA (http://www.rsa.com/node.aspx?id=3872). Cyberprzestępcy dobrze wiedzą, że człowiek jest najsłabszym ogniwem w każdym systemie bezpieczeństwa.

Przewidujemy, że w najbliższej przyszłości liczba ataków typu “spear phishing” wzrośnie. Ich celem mogą stać się również małe firmy, które pod względem potencjalnych zysków mają większą wartość niż indywidualni użytkownicy i, w przeciwieństwie do dużych korporacji, zwykle nie posiadają skutecznej ochrony IT.

Wnioski

Zawartość naszych skrzynek e-mail zmienia się każdego roku, zwłaszcza tych prywatnych. Otrzymujemy coraz mniej tradycyjnych e-maili, ponieważ istnieją lepsze sposoby wymiany informacji. Zamiast nich otrzymujemy powiadomienia wysyłane przez portale społecznościowe, odsyłacze do stron hostujących zdjęcia i filmy oraz serwisów wymiany plików. Teraz e-maile mogą również zawierać odsyłacze do dokumentów w chmurze.

Spam odzwierciedla sytuację dotyczącą zwykłych wiadomości e-mail. W ruchu pocztowym dominują krótkie wiadomości zawierające odsyłacze do stron osób trzecich. Inne rodzaje spamu to imitacje oficjalnych powiadomień od popularnych serwisów. Wraz z pojawieniem się technologii chmury spamerzy zaczęli wykorzystywać zasoby w chmurze w celu tworzenia fałszywych powiadomień. Tym, co pozostało bez zmian, jest czynnik ludzki, a tym samym socjotechnika: medialne newsy (zarówno prawdziwe, jak i wymyślone), imitacja korespondencji osobistej oraz inne chwyty służące zwabieniu użytkowników nadal cieszą się popularnością wśród spamerów.

Spam stał się ostatnio bardziej ukierunkowany. Niechciane wiadomości wysyłane do różnych krajów coraz bardziej różnią się pod względem języka i zawartości. Obecne ataki przeprowadzane przy użyciu technik spamowych często skierowane są przeciwko ściśle określonym grupom użytkowników. Tradycyjny rozkład spamu według regionu uległ zmianie na skutek zamknięcia największych botnetów – stracił swój globalny charakter, a spamerzy zostali zmuszeni do wykorzystywania mniejszych botnetów w sposób możliwie najbardziej efektywny, a tym samym w większym stopniu brać pod uwagę użytkowników stanowiących cel swoich ataków.

Azja i Ameryka Łacińska pozostają największymi źródłami spamu według regionu. Nie ma w tym żadnej niespodzianki, jako że regiony te są bardzo atrakcyjne dla spamerów ze względu na brak prawa antyspamowego oraz słaby poziom ochrony użytkowników Internetu. Jednak przewidujemy, że Stany Zjednoczone wkrótce powrócą na listę największych dystrybutorów spamu: mimo legislacji antyspamowej oraz wysokiego poziomu ochrony IT tak duże państwo z tak szerokim dostępem do szybkiego Internetu nie może długo pozostawać poza sferą działań spamerów.

Obecnie rozprzestrzenianie spamu na świecie charakteryzuje się większą równomiernością: powszechna komputeryzacja oznacza, że nie ma już regionów pozostających poza strefą zainteresowania botmasterów. Mamy nadzieję, że wraz z wprowadzeniem skutecznych ustaw antyspamowych zmniejszy się w przyszłości liczba regionów, z których rozsyłany jest spam.

Źródło:
Kaspersky Lab