Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin: Ewolucja spamu 2012

Tagi:

Daria Gudkowa
Ekspert, Kaspersky Lab Polska

Spis treści

Rok w liczbach

  • Średnia ilość spamu w wiadomościach e-mail wynosiła 72,1%.
  • Odsetek wiadomości phishingowych w całym ruchu e-mail stanowił 0,02%.
  • 3,4% wszystkich wiadomości zawierało szkodliwe załączniki.

Trendy w 2012 r.

Niższy odsetek spamu

Ilość spamu zmniejszała się w ciągu całego roku. Pod koniec 2012 roku odsetek niechcianych wiadomości wynosił 72,1%, czyli o 8,2% mniej niż w 2011 roku.


Odsetek spamu w ruchu pocztowym

Ten stały i znaczny spadek ilości spamu jest bezprecedensowy. Co więcej, średni odsetek niechcianych wiadomości w 2012 roku był znacznie niższy niż w 2010 (82,2%) i 2011 roku (80,3%), gdy aktywnie zamykane były centra kontroli botnetu oraz farmaceutyczne programy afiliackie. W 2012 roku odsetek niechcianych wiadomości e-mail był tak niski jak w ciągu poprzednich pięciu lat.

Głównym powodem spadku ilości spamu jest zwiększony poziom ochrony antyspamowej.

Ponadto, wielu dostawców usług e-mail wprowadziło obowiązkowe polityki podpisów DKIM (podpisy cyfrowe weryfikujące domenę, z której wysyłane są wiadomości e-mail).

DKIM po raz pierwszy pojawił się na scenie w 2006 roku, jednak dużo czasu upłynęło, zanim „stał się popularny”. Dopiero w ciągu ostatnich kilku lat dostawcy usług e-mail zaczęli postrzegać DKIM jako istotne kryterium decydujące o tym, czy dany e-mail powinien zostać dostarczony do odbiorcy. W odpowiedzi szkodliwi użytkownicy zaczęli generować fałszywe sygnatury DKIM. Było to możliwe dzięki temu, że wiele firm wykorzystywało algorytm służący do szyfrowania swoich podpisów, który do 2012 roku był stosunkowo łatwy do złamania.

Jednak w 2012 roku magazyn Wired opublikował artykuł opisujący problemy związane z niezaszyfrowanymi podpisami DKIM. Po pojawieniu się tego artykułu wiele dużych firm, takich jak Google, Yahoo czy Microsoft, zmieniło stosowane metody szyfrowania podpisów, zastępując 512-bitowe klucze bardziej nowoczesnymi kluczami 1024- lub 2048-bitowymi. Zmiany te pozwoliły wyeliminować fałszywki (przynajmniej biorąc pod uwagę obecne zdolności obliczeniowe).

W wyniku działań podjętych w celu wzmocnienia ochrony antyspamowej ilość spamu trafiającego do skrzynek użytkowników została zredukowana do minimum. To wszystko sprawia, że spam jest bardzo nieskuteczny, skłaniając klientów spamu do migracji na inne platformy. To z kolei powoduje spadek ilości niechcianych wiadomości w ruchu pocztowym.

Legalne reklamy internetowe jako alternatywa dla spamu

Zapytani o to, jak można zredukować ilość spamu, eksperci ds. spamu zawsze sugerują - oprócz przepisów antyspamowych, wysokiej jakości filtrów czy edukacji użytkowników - niedrogą reklamę na legalnych platformach. Wraz z pojawieniem się Web 2.0 znacząco wzrosły możliwości reklamy w Internecie: np. w formie banerów, reklamy kontekstowej czy reklamy na portalach społecznościowych oraz blogach.

Reklamy w legalnych kanałach nie są tak bardzo irytujące dla użytkowników, którym się wyświetlają, nie są blokowane przez filtry spamowe, a wiadomości e-mail są wysyłane do odbiorców, którzy wykazali potencjalne zainteresowanie promowanymi towarami i usługami. Ponadto, jeżeli reklamodawcy liczą na co najmniej jedno kliknięcie, legalna reklama może być znacznie tańsza niż reklama za pośrednictwem spamu.

Na podstawie wyników badań kilku firm obliczyliśmy, że przy średniej cenie 150 dolarów za 1 milion wysłanych wiadomości spamowych, ostateczny CPC (koszt kliknięcia odsyłacza w wiadomości przez jednego użytkownika) wnosi minimum 4,45 dolarów. Jednak ten sam wskaźnik dla Facebooka wynosi zaledwie 0,10 dolarów.

Według naszych szacunków oznacza to, że legalna reklama jest efektywniejsza niż spam. Pośrednim potwierdzeniem naszego wniosku jest fakt, że klasyczne kategorie spamu (na przykład podrabiane towary luksusowe) przenoszą się teraz na portale społecznościowe. Zidentyfikowaliśmy kilka adresów IP należących do sklepów internetowych reklamujących się na Facebooku, które wcześniej wykorzystywały spam.

Reklamodawcy wykorzystują jeszcze inny sposób legalnej promocji przez Internet: serwisy kuponowe, czyli strony umożliwiające grupowe zakupy ze zniżką, na których użytkownicy mogą zakupić tak zwane kupony. Takie serwisy pojawiły się kilka lat temu. Po zakupieniu kuponu użytkownik przedstawia go podczas nabywania produktu lub usługi w celu otrzymania zniżki. W 2012 roku serwisy kuponowe zdobyły ogromną popularność. Wiele firm na całym świecie próbuje rozszerzyć dzięki nim swoją bazę klientów, z kolei klienci otrzymują atrakcyjne oferty.

Serwisy kuponowe zwróciły uwagę reklamodawców, którzy wcześniej korzystali z usług spamowych. Dla przykładu można wspomnieć, że ponad 10% ofert na serwisach kuponowych plasuje się w kategorii „podróże i turystyka” – kategorii, która niemal zniknęła ze spamu. Na skutek popularności serwisów kuponowych coraz więcej reklamodawców zrezygnowało ze spamu na rzecz innych platform.

Z drugiej strony, rozpowszechnienie się serwisów kuponowych wywarło wpływ na spam. Szkodliwi użytkownicy zaczęli podrabiać e-maile pochodzące od głównych serwisów kuponowych, wykorzystując oryginały do reklamowania swoich własnych towarów lub usług lub zwabienia użytkowników na szkodliwą stronę.

 

Ta migracja na legalne platformy mogłaby mieć potencjalnie korzystny wpływ na promowanie legalnych towarów i usług. Odnosi się to w szczególności do Rosji i innych państw Europy Wschodniej, w których ruch spamowy odgrywa ważną rolę w przypadku małych i średnich firm. Jednak zważywszy na to, że większość spamu w tych państwach dotyczy podrabianych produktów, oszukańczych serwisów oraz szkodliwych wiadomości e-mail, ilość spamu nadal będzie utrzymywała się na wysokim poziomie.

Szkodliwe wiadomości e-mail i oszustwa w spamie

W 2012 roku zakres tematów wykorzystywanych w szkodliwych e-mailach był imponujący. Wcześniej szkodliwi użytkownicy wykorzystywali fałszywe powiadomienia od serwisów hostingowych, serwisów dostawczych oraz wiadomości od organizacji finansowych i rządowych. W 2012 roku rozszerzyli swój repertuar. Pojawiły się fałszywe wiadomości pochodzące rzekomo od różnych linii lotniczych, serwisów umożliwiających rezerwację hoteli oraz wspomnianych wyżej serwisów kuponowych.

Tego rodzaju fałszywe wiadomości e-mail mogą zawierać szkodliwe załączniki w spakowanym pliku archiwum lub szkodliwe odsyłacze.

 
 

W podobny sposób przeprowadzane są ataki, w których wykorzystywane są odsyłacze. Nieświadomy użytkownik klika odsyłacz, który prowadzi go na zhakowaną stronę z zaszytym skryptem, ta z kolei przekierowuje go na szkodliwą stronę zawierającą exploity. Przekierowania prowadzą najczęściej do zestawu exploitów Blackhole, jednak stosowane były również inne pakiety exploitów.

Oprócz opisanego wyżej procesu szkodliwi użytkownicy wykorzystywali od czasu do czasu oficjalne sposoby publikowania treści na niektórych legalnych stronach. Eksperci z Kaspersky Lab wykryli powiadomienia z odsyłaczami do serwisu Wikipedia oraz Amazon. Cyberprzestępcy udostępniali szkodliwą zawartość, korzystając z możliwości tworzenia własnych stron na tych zasobach. Jednak szkodliwa zawartość jest szybko usuwana z takich stron, zanim jeszcze wysyłki spamowe i zawarte w nich odsyłacze trafią do odbiorców. Z tego powodu metoda ta nie zyskała popularności wśród szkodliwych użytkowników.

Spam zawierał również odsyłacze do innych legalnych zasobów. Przykładem mogą być Arkusze Google, które nadal są wykorzystywane przez oszustów w celu kradzieży poufnych danych użytkowników (głównie nazw użytkownika i haseł do kont e-mail).

 

Jeżeli chodzi o bardziej powszechne metody socjotechniki stosowane przez szkodliwych użytkowników, eksperci z Kaspersky Lab wciąż wykrywali fałszywą korespondencję osobistą. Tego rodzaju e-maile często cechuje tak dobre wykonanie, że nie zawsze można je od razu zidentyfikować jako spam. Podczas skanowania antywirusowego załączonych plików archiwum wykryto modyfikacje różnych szkodliwych programów.

 

Tłumaczenie na polski:
Witam!
Rachunek nr 754 został zapłacony.
Kwota: 130 470 rubli.
W załączeniu skan potwierdzenia wpłaty.
Proszę sprawdzić, czy dane są poprawne, ponieważ płatność nie przeszła za pierwszym razem.
Proszę o potwierdzenie otrzymania płatności i środków.
Ze względu na nadchodzące święto Nowego Roku prosimy również, aby nasze polecenie zostało wykonane tak szybko, jak to możliwe.
Z poważaniem
Ivan Lavrov
CFO, ZAO NEFT Rosja

Szkodliwi użytkownicy zwykle próbują ukryć fakt, że pliki w archiwum ZIP są wykonywalne (.exe) poprzez maskowanie ich pod postacią aplikacji biurowych.

 

Odnotowaliśmy również e-maile, które miały wyglądać jak korespondencja. Spamerzy mieli nadzieję, że chciwość skłoni odbiorcę do otwarcia pliku w załączniku ZIP: użytkownik otrzymuje przez przypadek list z informacjami od Western Union pozwalającymi rzekomo otrzymać określoną kwotę.

 

Jednak zamiast danych z Western Union załączony plik archiwum zawiera trojana z rodziny Zbot.

Źródła spamu

W 2012 roku miało miejsce kilka znaczących zmian na liście państw stanowiących największych spamerów.

Chiny, które w 2011 roku nie znalazły się nawet w rankingu Top 20 największych źródeł spamu, w 2012 roku zajęły pierwsze miejsce, odpowiadając za 19,5% całego spamu. Ilość spamu pochodzącego ze Stanów Zjednoczonych zwiększyła się o 13,5 punktu procentowego - do 15,6% - co wystarczyło, aby państwo to znalazło się na drugim miejscu.

Oba te państwa znajdowały się wcześniej wśród wiodących na świecie źródeł spamu, jednak w ostatnich latach spadły ze szczytu rankingu. Ilość spamu wysyłanego z Chin zmniejszyła się w 2007 roku, po tym jak państwo to wprowadziło ustawy antyspamowe. Spam pochodzący ze Stanów Zjednoczonych niemal zniknął, po tym jak w 2010 roku zamknięto kilka centrów kontroli botnetu. Z drugiej strony, państwa te posiadają najwyższą liczbę użytkowników Internetu, o wiele wyższą niż większość innych państw. W Stanach Zjednoczonych i Chinach znajduje się łącznie ponad 30% wszystkich użytkowników Internetu na świecie. Naturalnie, przy tak dużej liczbie potencjalnych ofiar cyberprzestępcy tworzący botnety muszą być zainteresowani rozszerzeniem swoich sieci zainfekowanych maszyn.

 
Źródła spamu według państwa

Zmiany w rankingach źródeł spamu były odnotowywane przez cały rok. Szczególnie widoczne były w regionie Azji, gdzie Chiny zajęły pierwsze miejsce, podczas gdy poprzedni liderzy w tym regionie, tacy jak Indie, Indonezja oraz Korea Południowa, stracili swoje pozycje.

 
Zmiany w rankingu Top 10 największych źródeł spamu według państwa

Azja pozostaje wiodącym regionem pod względem dystrybucji spamu. W ciągu roku udział tego regionu w globalnym ruchu spamowym zwiększył się o 11,2 punktu procentowego i wynosił 50%.

 
Źródła spamu według regionu, 2012 rok
 
Źródła spamu według regionu, 2011 rok

Z powodu większego wkładu Stanów Zjednoczonych do ruchu spamowego Ameryka Północna zajęła drugie miejsce w rankingu Top 10, a jej udział wynosił 15,8%, podczas gdy w 2011 roku zaledwie 2%. Tymczasem, ilość spamu pochodzącego z Ameryki Łacińskiej zmniejszyła się o 8 punktów procentowych i wynosiła ostatecznie 11,8%.

 
Ilość spamu pochodzącego z Ameryki Północnej i Łacińskiej, styczeń – grudzień 2012 rok

W rankingu największych źródeł spamu według regionu spadek odnotowała również Europa. W 2012 roku całkowita ilość spamu pochodzącego z Europy Zachodniej i Wschodniej wynosiła łącznie 15,1%, czyli o około połowę mniej niż w 2011 roku (30%).

Szkodliwe załączniki w wiadomościach e-mail

Mimo spadku całkowitego odsetka niechcianych wiadomości w ruchu pocztowym stosunek e-maili ze szkodliwymi załącznikami zmniejszył się jedynie nieznacznie, do 3,4%. Jest to bardzo duży odsetek, tym bardziej że uwzględniane są tylko wiadomości e-mail ze szkodliwymi załącznikami, pomija się natomiast inne niechciane wiadomości e-mail zawierające odsyłacze do szkodliwych stron internetowych.

Najbardziej rozpowszechnionym szkodliwym załącznikiem w 2012 roku był Trojan-Spy.HTML.Fraud.gen, który przez pierwsze dziewięć miesięcy roku znajdował się na pewnym prowadzeniu, wyprzedzając dwa inne szkodliwe programy z pierwszej trójki w tej kategorii. W czwartym kwartale najbardziej rozpowszechnionymi szkodliwymi załącznikami były trojany Trojan-Spy.Win32.Zbot.fsfe i Trojan-PSW.Win32.Tepfer.cfwf. Te trzy szkodniki zostały stworzone w celu kradzieży informacji dotyczących konta użytkownika (nazw użytkowników i haseł) – celem Fraud.gen oraz Zbot (ZeuS) są wyłącznie hasła z systemów finansowych i płatniczych, podczas gdy Tepfer kradnie również inne hasła.

 
Top 10 szkodliwych programów w wiadomościach e-mail w 2012 r.

Robaki pocztowe znalazły się na drugim i trzecim miejscu w rankingach. Tak spora liczba robaków wynika ze sposobu działania robaków: jak tylko przedostaną się na komputer, zaczynają aktywnie wysyłać swoje kopie na adresy w książkach adresowych użytkowników. Tego rodzaju robaki są szczególnie rozpowszechnione w państwach azjatyckich, gdzie ludzie często wykorzystują oprogramowanie bootlegowe i nie aktualizują swoich antywirusowych baz danych. Robak Bagle, oprócz swoich głównych funkcji, potrafi również zainstalować różne programy na zainfekowanej maszynie.

 
Odsetek szkodliwych programów wykrywanych w poczcie e-mail według państw

Największa liczba szkodliwych programów wykrytych w poczcie e-mail w 2012 roku została odnotowana w Stanach Zjednoczonych. W zeszłym roku Niemcy utrzymywały się na prowadzeniu przez kilka miesięcy, jednak pod koniec roku uplasowały się na drugiej pozycji. Trzecie miejsce zajęła Wielka Brytania. Rosja, która w 2011 roku była celem numer jeden, spadła na 9 miejsce w 2012 roku.

Co ciekawe, odsetek wiadomości e-mail ze szkodliwymi załącznikami wysyłanych do użytkowników w Stanach Zjednoczonych zwiększał się w tym samym tempie, w jakim wzrastał odsetek spamu pochodzącego ze Stanów Zjednoczonych. Wzrosła również ilość szkodliwych e-maili atakujących użytkowników w Chinach. Szkodnik ten najprawdopodobniej pobierał, między innymi, boty spamowe na komputery użytkowników. W efekcie, zainfekowane komputery stały się częścią systemu botnetowego i zaczęły również wysyłać spam.

Phishing

 
Top 100 organizacji stanowiących najczęstszy cel phisherów, według kategorii

Ranking ten opiera się na danych z modułu antyphishingowy firmy Kaspersky Lab, który jest aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej. .

Najczęstszymi celami phisherów w 2012 roku były różne portale społecznościowe (24,5%). Większość ataków było przeprowadzanych na użytkowników Facebooka. Skradzione konta były wykorzystywane przez szkodliwych użytkowników głównie w celu wysyłania spamu i szkodliwego oprogramowania do osób znajdujących się na liście znajomych ofiar.

Liczba ataków phishingowych na organizacje finansowe zmniejszyła się w 2011 roku, niemniej jednak ich odsetek utrzymał się na wysokim poziomie 22,9%. Trzecim najczęstszym celem phishingowym były sklepy internetowe i aukcje (18,4%), poprzez które phisherzy mają nadzieję zdobyć informacje dotyczące kont, takie jak numery kart kredytowych.

Czwartym najczęstszym celem phishingowym w 2012 roku były wyszukiwarki (14,1%). Wiele wyszukiwarek, takich jak Google, to duże serwisy, dlatego posiadają one wiele różnych rodzajów usług dla użytkowników. Takie konta również przyciągają uwagę scammerów.

 
Serwery stron phishingowych według państwa

Oprócz Rosji i Indii, które zajęły odpowiednio czwarte i szóste miejsce, w rankingu Top 10 najczęściej atakowanych państw przez phisherów znalazły się jedynie kraje o rozwiniętych gospodarkach.

Prawie wszystkie państwa w tym rankingu posiadają dobrze rozwinięte systemy bankowości on-line oraz dużą liczbę użytkowników portali społecznościowych – są to dwa najczęstsze cele ataków phishingowych. Serwery stron phishingowych nie muszą znajdować się w tym samym państwie co atakowani użytkownicy. Jest jednak jeden niewielki niuans – phisherzy zwykle próbują nadawać swoim fałszywym stronom nazwy, które brzmią niemal identycznie jak nazwy rzeczywistych zasobów online (na przykład zmieniając jedną literę w nazwie rzeczywistej strony), tak aby użytkownicy nie spostrzegli, że znajdują się na fałszywej stronie. Domeny są ustanawiane w ten sam sposób co domena rzeczywistej strony w celu utrudnienia odróżnienia jej od tej prawdziwej. Być może dlatego rozkład stref domen kształtuje się w ten sposób.

Interesujące jest to, że trzy państwa, w których zidentyfikowano najwięcej stron phishingowych (Stany Zjednoczone, Niemcy oraz Wielka Brytania) to jednocześnie trzy państwa otrzymujące najwięcej wiadomości e-mail ze szkodliwymi załącznikami.

Podsumowanie

W 2012 roku odsetek spamu zmniejszał się w ciągu roku, a podczas ostatnich trzech miesięcy 2012 roku utrzymał się na poziomie poniżej 70%. Spadek ten jest wynikiem stopniowego odchodzenia reklamodawców od wykorzystywania spamu na rzecz innych, wygodniejszych i legalnych sposobów promowania towarów i usług. Nie oznacza to jednak, że spam wkrótce zniknie: ze względu na swój przestępczy charakter szkodliwy spam, oszustwa czy reklama nielegalnych towarów nie mogą tak po prostu migrować na legalne platformy. Spodziewamy się, że spadek ilości spamu w 2013 roku będzie w najlepszym razie minimalny.

W 2012 roku odsetek niechcianych wiadomości pochodzących ze Stanów Zjednoczonych oraz Chin zwiększył się znacząco. Oba te państwa stanowiły wcześniej wiodące źródła spamu, jednak po uchwaleniu ustaw antyspamowych oraz zamknięciu botnetów ilość niechcianej poczty z tych państw zmniejszyła się znacznie. Najwyraźniej spamerzy nadal chcą wykorzystywać moc obliczeniową dostępną w Stanach Zjednoczonych i Chinach w celu tworzenia nowych botnetów w tych państwach.

Najbardziej rozpowszechnione szkodliwe programy w 2012 roku to programy kradnące nazwy użytkowników oraz loginy, ukierunkowane głównie na informacje dotyczące kont w serwisach finansowych. Jednak szkodliwi użytkownicy są zainteresowani również innymi rodzajami haseł, np. umożliwiającymi dostęp do portali społecznościowych, kont e-mail oraz innych serwisów.

Ilość szkodliwych e-maili utrzymała się na wysokim poziomie w całym roku. Szkodliwi użytkownicy podrabiają coraz więcej rodzajów legalnych powiadomień. W tej sytuacji Kaspersky Lab przypomina użytkownikom Internetu o zachowaniu środków ostrożności: po otrzymaniu wiadomości e-mail, upewnij się, że rzeczywiście został wysłany z tego zasobu. Nigdy nie klikaj odsyłaczy w podejrzanych wiadomościach e-mail i pamiętaj, że regularna aktualizacja oprogramowania jest bardzo ważna.