Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w październiku 2012 r.

Tagi:

Daria Gudkowa, ekspert z Kaspersky Lab
Tatjana Szczerbakowa, ekspert z Kaspersky Lab

Październik w liczbach

  • Odsetek spamu w ruchu pocztowym zmniejszył się o 4,5 punktu procentowego w porównaniu z wrześniem i wynosił średnio 68%.
  • Odsetek wiadomości phishingowych pozostał niezmieniony w stosunku do września i wynosił 0,03%.
  • W październiku szkodliwe pliki zostały znalezione w 3,25% wszystkich e-maili, co stanowi spadek o 0,15 punktu procentowego.

Spam na świeczniku

Szkodliwe załączniki. Historia toczy się dalej

Odsetek spamu nadal spada, jednak udział e-maili zawierających szkodliwe załączniki i odsyłacze do szkodliwych zasobów pozostaje dość wysoki. Wśród spamu znajduje się również sporo oszukańczych wiadomości.

W październiku spamerzy nadal stosowali szeroki wachlarz sztuczek w celu rozprzestrzeniania szkodliwych plików ZIP. Rozsyłane przez nich wiadomości e-mail imitowały oficjalne powiadomienia o mandatach za przekroczenie prędkości, jak również dotyczyły fałszywych rezerwacji hotelowych i ofert fałszywych e-biletów lotniczych, które odnotowaliśmy już w poprzednich masowych wysyłkach.

W październiku oszuści wprowadzili nową wariację na temat fałszywych rezerwacji hotelowych. Wcześniej wysyłali wiadomości angojęzyczne, pochodzące rzekomo z serwisu booking.com. Teraz fałszywe e-maile w języku angielskim i niemieckim zaczęły imitować powiadomienia z serwisu rezerwacji online hotel.de. W e-mailu, który w rzeczywistości zawierał załącznik ze szkodliwym archiwum ZIP, użytkownik był proszony o potwierdzenie rezerwacji w pięciogwiazdkowym hotelu Brenner’s Park-Hotel & Spa w Baden-Baden. Załączony w archiwum plik .exe jest wykrywany przez Kaspersky Lab jako Trojan-Ransom.Win32.Gimemo.atjk.

 

Oprócz fałszywych powiadomień spamerzy próbowali również wykorzystywać osobiste okazje w celu przeniknięcia do komputerów. Na przykład rozprzestrzeniali fałszywe zaproszenia ślubne zawierające szkodliwy załącznik.

 

Spam polityczny

Tej jesieni cały świat czekał na wyniki głosowania na nowego prezydenta Stanów Zjednoczonych. Przed wyborami, w samym szczycie kampanii wyborczej, spamerzy zachęcali użytkowników, aby podzielili się swoimi prognozami odnośnie zwycięzcy tego wyścigu – i zgarnęli 250 dolarów na karcie podarunkowej Visa.

 

Jednak każdy podany adres e-mail z pewnością trafił do bazy spamerów i prawdopodobnie będzie otrzymywał jeszcze więcej wiadomości śmieci.

Zarejestrowaliśmy również inne masowe wysyłki o tematyce wyborczej. Wśród nich znalazły się wezwania do poparcia jednego z kandydatów i natrętne reklamy zegarka “takiego samego jak ma prezydent”.

Wybory były również wykorzystywane do zwabiania użytkowników na różne strony.

 

W wyniku kliknięcia odsyłacza w powyższej wiadomości e-mail użytkownik zostawał przekierowany na oszukańczą stronę, na której mógł obejrzeć film o rzekomej możliwości zarobienia łatwych pieniędzy przez internet. Naturalnie, film ten nie miał nic wspólnego z Obamą.

Spam o tematyce świątecznej

Halloween - święto powszechnie obchodzone w Europie i Stanach Zjednoczonych - przyciągnął również uwagę spamerów. Anglojęzyczne wiadomości e-mail oferowały różne towary związane z tym dniem, takie jak torebki znanych projektantów, wycieraczki, ramki na zdjęcia i fluorescencyjne T-shirty.

 

Temat świąteczny był aktywnie wykorzystywany do reklamowania różnych ofert i zniżek. Tym razem w związku z Halloween spamerzy oferowali nowe i używane samochody po obniżonej cenie.

 

Jak zwykle w październiku, spamerzy zaczęli przypominać ludziom o nadchodzących świętach zimowych. Już teraz odnotowaliśmy mnóstwo wysyłek związanych z Bożym Narodzeniem i Nowym Rokiem oferujących słodycze, podarunki, bilety na noworoczne wycieczki i wiele więcej.

 

Noworoczny spam reklamuje towary specyficzne dla danego rynku. Na przykład rosyjskojęzyczne e-maile oferowały dekoracyjne, miniaturowe ręcznie robione buciki – walonki – które przytwierdza się do powierzchni przy pomocy magnesu lub haczyka.

 

Rosyjskim użytkownikom oferowano również wykonywane na zamówienie choinki do ustawienia wewnątrz i na zewnątrz, natomiast anglojęzycznym użytkownikom proponowano możliwość zakupu puszki i wyhodowania drzewka świątecznego w domu, postępując zgodnie z prostymi instrukcjami.

Rozkład geograficzny źródeł spamu

Tak jak w poprzednim miesiącu, na szczycie rankingu najbardziej aktywnych dystrybutorów spamu w październiku znalazły się Chiny (30,7%) i Stany Zjednoczone (27,3%). Te dwa państwa odpowiadały za prawie 58% globalnego ruchu spamowego. W pierwszej piątce znalazły się również Indie (5,8%), Wietnam (4,3%) oraz Brazylia (2,6%), które od dawna przyciągały spamerów z powodu słabego zabezpieczenia antywirusowego w tych krajach.

 
Źródła spamu w październiku 2012 r.

Chiny mają jeszcze większy udział w spamie wysyłanym do użytkowników europejskich – 53,3%, co stanowi wzrost o 11,8 punktu procentowego w porównaniu z wrześniem. Na drugim miejscu znajdują się Stany Zjednoczone z udziałem 13,4% (+2,7 punktu procentowego). Włochy zwiększyły swój wkład do europejskiego ruchu spamowego o 3,9 punktu procentowego, dzięki czemu awansowały na trzecie miejsce. Jednocześnie znacznie zmniejszył się udział Indii (-6 punktów procentowych).

 
10 największych źródeł spamu wysyłanego do użytkowników europejskich w październiku 2012 r.

Szkodliwe oprogramowanie w ruchu pocztowym

W październiku szkodliwe pliki były wykrywane w 3,25% wszystkich wiadomości e-mail, co stanowi spadek o 0,15 punktu procentowego w porównaniu z poprzednim miesiącem.

Rozkład wykrytych szkodliwych programów w wiadomościach e-mail według państwa

 
Rozkład szkodliwego oprogramowania wykrytego w ruchu e-mail według państwa

Drugi miesiąc z rzędu miały miejsce istotne zmiany pod względem odsetka szkodliwego oprogramowania wykrywanego przez moduł ochrony poczty wbudowany w produkty Kaspersky Lab. Na pierwszym miejscu utrzymały się Niemcy, mimo że odnotowały spadek o 1,25 punktu procentowego w porównaniu z wrześniem. Jednak niżej na liście nastąpiły już pewne przetasowania. Do rankingu Top 10 wróciły Stany Zjednoczone (+5,82 punktu procentowego), które uplasowały się tuż za Niemcami. Wielka Brytania odzyskała trzecią pozycję, po tym jak zwiększyła swój udział w spamie o 4,2 punktu procentowego w stosunku do poprzedniego miesiąca. Hiszpania, która we wrześniowym rankingu znalazła się na drugim miejscu, całkowicie wypadła z pierwszej dziesiątki, po tym jak odnotowała drastyczny spadek o 3,94 punktu procentowego. Rosja spadła na 4 miejsce, mimo że jej udział pozostał praktycznie niezmieniony (+0,26 punktu procentowego).

Top 10 malicious programs spread via email in October 2012

 
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w październiku 2012 r.

W październiku Trojan-Spy.Win32.Zbot.fsfe, będący modyfikacją dobrze znanego oprogramowania spyware ZueS/Zbot stworzonego w celu kradzieży danych uwierzytelniających użytkowników dla różnych serwisów e-płatności, był najpopularniejszym szkodliwym programem rozprzestrzenianym w ruchu pocztowym. Zbot to uniwersalny trojan atakujący konta w wielu bankach. Jego autorzy nieustannie ulepszają kod – ten konkretny wariant różnił się metodą pakowania.

Mimo że Zbot od długiego czasu nie gościł w rankingu Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail, cyberprzestępcy nie zapomnieli o nim. Często trafiamy na szkodliwy spam, który zamiast szkodliwego załącznika zawiera odsyłacz do szkodliwego zasobu. Jeżeli znajdujące się w tym zasobie exploity zdołają znaleźć lukę w oprogramowaniu na komputerze użytkownika, pobiorą i uruchomią szkodliwy plik wykonywalny, który z kolei pobierze na zainfekowaną maszynę program z rodziny Zbot.

Sześć programów z październikowego rankingu należy do rodziny Trojan-Ransom.Win32.PornoAsset, która stanowi 55,2% wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail. Trojan-Ransom.Win32.PornoAsset stanowi oprogramowanie ransomware, które blokuje system operacyjny i żąda zapłaty za jego odblokowanie. Czterech pierwszych przedstawicieli tej rodziny pojawiło się w rankingu Top 10 we wrześniu. Ostrzegaliśmy już ofiary PornoAsset, że ich systemy nie zostaną odblokowane, nawet jeśli zapłacą “okup”. W przypadku infekcji, zamiast spełniać żądania szantażysty, lepiej poprosić o pomoc specjalistę.

W październikowym rankingu Top 10 nie znalazł się ani Backdoor.Win32.Androm.kv, wrześniowy lider, ani Trojan-Spy.HTML.Fraud.gen, wcześniejszy lider. Trojan-Spy.HTML.Fraud.gen i Trojan-Spy.Win32.Zbot.fsfe mają te same cele – systemy bankowości online oraz e-płatności. Wygląda na to, że oszuści rotują swoje “narzędzia” w celu przechwycenia pieniędzy użytkowników.

Phishing

Odsetek wiadomości phishingowych pozostał niezmieniony w porównaniu z wrześniem i wynosił 0,03%.

 
Top 100 organizacji, według sfery działalności, atakowanych przez phisherów w październiku 2012 r. (w oparciu o statystyki wykrywania modułu antyphishingowego*)

Ranking ten opiera się na statystykach wykrywania dostarczanych przez moduł antyphishingowy Kaspersky Lab aktywowany za każdym razem, gdy użytkownik próbuje klikać odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

Po letnim przejściowym okresie spokoju w październiku miał miejsce znaczny wzrost liczby ataków na organizacje finansowe (+2,85 punktu procentowego) oraz sklepy online i aukcje elektroniczne (+5,42 punktu procentowego). Jeżeli ataki są skuteczne, stojący za nimi oszuści mogą uzyskać dostęp do kont użytkowników w systemach bankowości online i e-płatności oraz ukraść ich pieniądze.

Liczba ataków na portale społecznościowe zmniejszyła się o 10,23 punktu procentowego w październiku, przez co kategoria ta spadła z pierwszego miejsca na czwarte, plasując się nawet za kategorią “wyszukiwarki”. Spodziewaliśmy się, że spadek ten nastąpi wcześniej – we wrześniu. Latem phisherzy w większości atakują uczniów i studentów, którzy spędzają dużo czasu surfując po internecie. Gdy pod koniec lata aktywność biznesowa zaczyna nabierać szybszego tempa, oszuści ponownie obierają na swe celowniki organizacje finansowe.

Wnioski

Tak jak spodziewaliśmy się, wybory prezydenckie w Stanach Zjednoczonych zwróciły uwagę spamerów. Po głosowaniu nazwisko Obamy prawdopodobnie przestanie pojawiać się tak często w spamie. Spamerzy z pewnością znajdą inne gorące tematy, aby zwabić użytkowników na szkodliwą stronę lub wyłudzić od nich pieniądze, takie jak huragan w Nowym Jorku.

Ogólnie, większość globalnego spamu jest wysyłana ze Stanów Zjednoczonych i Chin. Kilka lat temu państwa te znajdowały się w czołówce rankingu największych źródeł spamu. Teraz ich udział znów wzrasta, ponieważ duża liczba użytkowników internetu w tych państwach stwarza dogodne warunki dla dystrybucji spamu z zainfekowanych maszyn.

W październiku wzrosła liczba szkodliwych i phishingowych wiadomości e-mail, których celem były pieniądze użytkowników. Trend ten prawdopodobnie utrzyma się w przyszłości. Użytkownicy powinni być szczególnie ostrożni podczas dokonywania e-płatności oraz podawania poufnych danych w internecie. Przestrzegamy przed klikaniem odsyłaczy w wiadomościach spamowych oraz otwieraniem załączników od nieznanych nadawców. Ponadto, należy stosować aktualizacje oprogramowania, jak tylko zostaną udostępnione.

Źródło:
Kaspersky Lab