Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w I kwartale 2014 r.

Tagi:

Fałszywe powiadomienia z aplikacji mobilnych

Rozpowszechnienie urządzeń mobilnych spowodowało pojawienie się spamu e-mail, którego celem są użytkownicy smartfonów i tabletów. Pisaliśmy już o masowych wysyłkach zawierających szkodliwe oprogramowanie przeznaczone dla urządzeń opartych na Androidzie. Obecnie tego rodzaju programy nie występują licznie, ale są rozprzestrzeniane regularnie. W pierwszym kwartale zaobserwowaliśmy jeszcze inny trend: fałszywe powiadomienia rozprzestrzeniane za pośrednictwem spamu imitują obecnie wiadomości pochodzące z aplikacji mobilnych. Spamerzy w szczególności preferują wieloplatformową aplikację mobilną WhatsApp: powiadomienia wysyłane rzekomo przez tę aplikację były wykorzystywane przez spamerów do rozprzestrzeniania zarówno szkodliwego oprogramowania jak i standardowych reklam.        

W styczniu zarejestrowaliśmy masową wysyłkę, która zawierała rzekomo obraz wysłany odbiorcy za pośrednictwem WhatsApp. To powinno było wzbudzić podejrzenie czujnego użytkownika, ponieważ powiadomienie zostało przysłane za pośrednictwem poczty e-mail, podczas gdy konto WhatsApp nie jest bezpośrednio powiązane z kontem e-mail. Jednak wielu użytkowników przywykło do synchronizacji swoich kontaktów oraz do faktu, że wiadomości z aplikacji mobilnych mogą zostać przysłane w wiadomości e-mail, dlatego takie powiadomienie nie zaskoczyłoby większości użytkowników.

14q1-spam-en-pic01_auto.png

W rzeczywistości, załączone archiwum zawierało szkodliwy program wykrywany przez Kaspersky Lab jako Backdoor.Win32.Androm.bjkd. Jest to znany backdoor, którego główną funkcją jest pobieranie na komputer ofiary innych szkodliwych programów.    

W marcu zidentyfikowaliśmy kolejną masową wysyłkę, która również wykorzystywała popularność aplikacji mobilnych. Odbiorca był informowany o rzekomo pozostawionej wiadomości głosowej na WhatsApp oraz zachęcany do kliknięcia odsyłacza w celu odsłuchania jej. 

 14q1-spam-en-pic02_auto.png

Po kliknięciu ‘Autoplay’ użytkownik został przekierowany na zhakowaną legalną stronę, do której został wstrzyknięty następujący Javascript:

 14q1-spam-en-pic03_auto.png

Po przetłumaczeniu kodu szesnastkowego otrzymujemy:

14q1-spam-en-pic04_auto.png 

To oznacza, że zhakowana strona była readresatorem, tj. przekierowywała użytkownika na inną stronę, w tym przypadku na stronę reklamującą Viagrę. 

Podobną metodę zastosowano w celu rozprzestrzeniania fałszywych powiadomień z innych popularnych komunikatorów mobilnych Viber oraz Google Hangouts. 

14q1-spam-en-pic05_auto.png 

14q1-spam-en-pic06_auto.png 

Rosnąca popularność urządzeń mobilnych oznacza, że ataki phishingowe, których celem jest kradzież Apple ID stają się częstsze:

14q1-spam-en-pic07_auto.png 

 
14q1-spam-en-pic08_auto.png

W pierwszym kwartale 2014 r. Apple znalazł się na 17 miejscu wśród organizacji najczęściej atakowanych przez phisherów.  

Gorące tematy w spamie: igrzyska olimpijskie

W lutym zimowe igrzyska olimpijskie odbywały się w Rosji. Naturalnie, wydarzenie to zwróciło uwagę spamerów, którzy wykorzystali ten temat w różnych masowych wysyłkach, mimo że spamowy szum wokół olimpiady był nieco mniejszy niż można było się spodziewać. Chińscy przedsiębiorcy oferowali różne produkty dekorowane symbolami olimpiady, „Nigeryjscy” scammerzy wykorzystali temat olimpiady w celu wyłudzenia pieniędzy od użytkowników. Zarejestrowaliśmy również kilka większych masowych wysyłek promujących podrabiane zegarki „na wyjazd na olimpiadę” oraz oferujące usługi wynajmu prywatnego helikoptera w Soczi.  

Co ciekawe, nie jest to pierwszy raz, gdy aktywność spamerów w związku z tak głośnym wydarzeniem przybrała nieco mniejszą skalę: podczas Letniej olimpiady w Londynie odnotowaliśmy oszukańcze wysyłki dotyczące wygranych na „loterii olimpijskiej”, podczas gdy olimpiada zimowa w Vancouver w 2010 r. pozostała niemal zupełnie niezauważona przez cyberprzestępców. Co ciekawe, podczas mistrzostw świata w piłce nożnej ilość wykorzystującego to wydarzenie spamu jest zawsze większa.        

Oprócz tematu olimpijskiego spamerzy (w większości oszuści „nigeryjscy”) wykorzystywali głośne wydarzenia, takie jak śmierć byłego premiera Izraela Ariela Sharona. Ponadto oszuści nadal rozprzestrzeniali „nigeryjski” spam wysyłany rzekomo przez bliskich przyjaciół Nelsona Mandeli, byłego prezydenta Afryki Południowej, który zmarł w grudniu.  

Sztuczki spamerów: tworzenie szumu w tle przy użyciu znaczników HTML

Aby stworzyć unikatowe e-maile w masowych wysyłkach, spamerzy często tworzą w tekście „szum w tle” poprzez dodanie losowych znaków, słów czy fragmentów tekstu. To naturalnie sprawia, że wiadomość staje się mniej czytelna, a tym samym mniej interesująca dla użytkownika. Dlatego też spamerzy zwykle starają się ukrywać przed użytkownikiem taki losowy tekst. Znane od dawna metody polegające na umieszczaniu białego tekstu na białym tle lub po prostu oddzielaniu „zaszumionego” tekstu od głównej treści za pomocą wielu przerw, nadal są powszechnie wykorzystywane przez spamerów, mimo że są tak stare jak sam spam.    

Z drugiej strony, niektórzy spamerzy stosują bardziej zaawansowane techniki. Jedną z nich jest tworzenie szumu w tle przy użyciu znaczników HTML. Ta metoda sprawia, że użytkownik nie widzi niczego poza głównym tekstem, podczas gdy dla każdego filtra spamowego każdy e-mail będzie unikatowy.    

Oto, co widzi użytkownik:

 14q1-spam-en-pic09_auto.png

W kodzie źródłowym główna część e-maila wygląda następująco:

 14q1-spam-en-pic10_auto.png

Tekst HTML w większości nie ma sensu, z wyjątkiem oznaczonych na czerwono odsyłaczy i obrazków. Często spotyka się znaczniki span z różnymi atrybutami. Jest to kontener znaczników wykorzystywany głównie w celu projektowania i/lub przydzielania unikatowego identyfikatora do określonego fragmentu tekstu. W tym przypadku pomiędzy znacznikami otwarcia i zamknięcia nie ma właściwego tekstu, a więc znaczniki te tworzą po prostu szum w tle w e-mailu.     

Warto zauważyć, że również sam odsyłacz zawiera szum. Ciąg = EF = BB = BF został zamieszczony kilka razy w losowo wybranych miejscach pomiędzy standardowymi literami. Ciąg ten, w systemie szesnastkowym, odnosi się do jednego znaku w kodowaniu UTF-8, który wskazuje kolejność bajtów pliku tekstowego, ale tylko wtedy, gdy jest wykorzystywany zgodnie ze swoim celem. Według specyfikacji Unicode, znak w środku przepływu danych należy interpretować jako „zero-width non-breaking space". To oznacza, że klient e-mail zignoruje po prostu taki ciąg i otworzy odsyłacz lub pobierze obraz. Jednak, dla filtrów spamowych każdy odsyłacz będzie unikatowy. Ponadto, ostatnia część odsyłacza (zaznaczona na pomarańczowo) jest tworzona losowo.      

„Niezaszumiony” kod źródłowy e-maila wygląda następująco:

 14q1-spam-en-pic11_auto.png

Pod względem rozmiaru zaciemniona część znacznie przewyższa część e-maila zawierającą treść. Cały „szum” jest generowany losowo i jest unikatowy dla każdego e-maila w wysyłce. Po otworzeniu e-maila na kliencie pocztowym odbiorca widzi tylko doskonale zaprojektowaną wiadomość, w której nie ma śladu sztuczek spamerów.  

Dane statystyczne

Odsetek spamu w ruchu e-mail

Odsetek spamu w całym ruchu e-mail w pierwszym kwartale tego roku wynosił 66,34% - o 6,42 punktu procentowego mniej w stosunku do poprzedniego kwartału. Jednak w porównaniu z I kwartałem 2013 r. udział niechcianych wiadomości w badanym okresie zmienił się nieznacznie, zmniejszając się jedynie o 0,16 punktu procentowego.     

 14q1-spam-en-pic12.png

Odsetek spamu w ruchu pocztowym w I kwartale 2014 r.

W pierwszym kwartale 2014 roku poziom spamu odnotowywał spore wahania, osiągając najniższą wartość (61%) w ostatnim tygodniu badanego okresu. 

Źródła spamu według państwa

Rozkład geograficzny spamu według państwa odnotował niewielkie zmiany w I kwartale 2014 r.

 14q1-spam-en-pic13.png

Rozkład źródeł spamu według państwa w I kwartale 2014 r.

Trzy największe źródła spamu nie zmieniły się: Chiny (-0,34 punktu procentowego), Stany Zjednoczone (+1,23 punktu procentowego) oraz Korea Południowa (-0,91 punktu procentowego). Rosja wyprzedziła Tajwan i przesunęła się na czwarte miejsce, o jedną pozycję wyżej w stosunku do poprzedniego kwartału (+0,34 punktu procentowego).

Również udział pozostałych państw nie odnotował znaczących zmian.  

Wyraźniejsze przetasowania można zaobserwować w drugiej połowie rankingu Top 20 największych spamerów. Filipiny (+0,67 punktu procentowego) awansowały z 20 miejsca na 11. Udział Kazachstanu zmniejszył się o 0,76 punktu procentowego, przez co państwo to spadło z 11 miejsca na 17. Kanada nie zdołała utrzymać swojego 10 miejsca z poprzedniego kwartału i spadła na 27 pozycję – udział tego państwa w spamie zmniejszył się z  1,73% w III kwartale 2013 r. do 0,49% w I kwartale 2014 r.       

Źródła spamu według regionu

  14q1-spam-en-pic14.png

Rozkład źródeł spamu według regionu w I kwartale 2014 r.

W I kwartale 2014 r. ranking największych źródeł niechcianych wiadomości według regionu nie odnotował żadnych znaczących zmian w stosunku do poprzedniego kwartału. Największym regionalnym źródłem spamu pozostała Azja, mimo że odsetek spamu pochodzącego z tego regionu zmniejszył się o 3,2 punktu procentowego. Na drugim miejscu uplasowała się Ameryka Północna (-0,01 punktu procentowego). Udział pozostałych regionów zwiększył się nieznacznie.    

Rozmiar e-maili spamowych

Dominują niewielkie wiadomości spamowe o rozmiarze poniżej 1 KB.

 14q1-spam-en-pic15_auto.png 

Rozmiar e-maili spamowych: I kwartał 2014 r.

W styczniu odnotowaliśmy wzrost odsetka e-maili o rozmiarze 10-20 KB. Może być to spowodowane masowymi wysyłkami spamowymi w okresie świątecznym, które zwykle zawierają wiele obrazów.   

14q1-spam-en-pic16_auto.png

Szkodliwe załączniki w wiadomościach email

 14q1-spam-en-pic17.png

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w I kwartale 2014 r.

Trojan-Spy.HTML.Fraud.gen pozostał najpopularniejszym szkodliwym programem rozprzestrzenianym za pośrednictwem poczty e-mail w pierwszym kwartale tego roku. Szkodnik ten został tak stworzony, aby przypominał stronę HTML wykorzystywaną jako formularz rejestracyjny dla usług bankowości online. Jest wykorzystywany przez phisherów do kradzieży informacji finansowych.

Na drugim i siódmym miejscu znalazły się programy o nazwie Net-Worm.Win32.Aspxor. Celem tych robaków sieciowych jest rozprzestrzenianie spamu. Szkodniki te automatycznie infekują strony internetowe, ładują i uruchamiają inne programy oraz gromadzą cenne informacje przechowywane na komputerze, takie jak hasła oraz inne dane umożliwiające dostęp do kont e-mail i FTP.   

Na trzecim miejscu znalazł się Email-Worm.Win32.Bagle.gt, który stanowi weterana rankingu Top 10. Główną funkcją każdego robaka jest zbieranie adresów e-mail znalezionych na zainfekowanym komputerze. Robak Bagle potrafi również przyjmować zdalne polecenia pobrania szkodliwych plików z internetu bez wiedzy użytkownika.   

Czwarte i ósme miejsca zajmują trojany z rodziny Fareit, które były najaktywniej rozprzestrzeniane w styczniu. Celem tych programów jest kradzież loginów i haseł użytkownika, przeprowadzanie ataków DDoS jak również pobieranie i uruchamianie losowo wybranego szkodliwego oprogramowania. Te dwa szkodniki mogą pobierać i uruchamiać trojany Zbot. Ponadto, trojany Fareit potrafią kraść portfele bitcoin jak również portfele innej kryptowaluty (łącznie około 30).     

Na piątym miejscu znalazł się Trojan.Win32.Bublik.bwbx. Szkodnik ten pobiera na komputer ofiary inne szkodliwe oprogramowanie, głównie trojany z rodziny Zbot. 

Na szóstej pozycji uplasował się Backdoor.Win32.Androm.bngy. Rodzina szkodliwego oprogramowania o nazwie Andromeda składa się z backdoorów, które pozwalają cyberprzestępcom potajemnie kontrolować zainfekowany komputer. Zainfekowane tymi programami maszyny często stają się częścią botnetów.   

Na dziewiątym miejscu w rankingu znalazł się Email-Worm.Win32.Mydoom.l, znany robak pocztowy.

Ranking Top 10 dla I kwartału zamyka trojan z rodziny Zbot. Jest to rodzina trojanów, które kradną poufne informacje użytkowników. Szkodniki te potrafią również zainstalować szkodliwy program o nazwie CryptoLocker, który żąda pieniędzy w zamian za odszyfrowanie danych użytkownika.  

14q1-spam-en-pic18.png 

Rozkład wykryć szkodliwego oprogramowania w poczcie według państwa w I kwartale 2014 r.

Lista państw będących najczęstszym celem szkodliwych e-maili odnotowała kilka zmian od trzeciego kwartału zeszłego roku. Udział Stanów Zjednoczonych wzrósł o 3,68 punktu procentowego, podczas gdy Wielkiej Brytanii, Niemiec i Hong Kongu zmniejszył się odpowiednio o 2,27, 1,34 i 2,73 punktów. W efekcie Stany Zjednoczone, które w poprzednim kwartale znalazły się dopiero na trzecim miejscu, w pierwszym kwartale 2014 r. powróciły na szczyt rankingu. Udział pozostałych państw nie zmienił się znacząco. 

Phishing

Począwszy od I kwartału 2014 r. postanowiliśmy połączyć dwie kategorie – Email i IMS oraz wyszukiwarki – w jedną kategorię portale e-mail i wyszukiwania. Portale te często posiadają jedno wspólne konto, które odpowiada zarówno za ustawienia jak i historię wyszukiwania; stanowi również konto e-mail i zapewnia dostęp do usług w chmurze oraz innych funkcji.   

 

Rozkład Top 100 organizacji stanowiących najczęstszy cel phisherów* według kategorii — I kwartał 2014 r.

* Ranking ten opiera się na wykryciach dokonanych przez komponent antyphishingowy firmy Kaspersky Lab, aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz ten znajduje się w e-mailu spamowym czy na stronie internetowej.   

Tak jak spodziewaliśmy się, kategoria Portale e-mail i wyszukiwarki znalazły się na szczycie rankingu najpopularniejszych celów phisherów. Większość z takich ataków ma na celu uzyskanie dostępu do serwisu e-mail. Oprócz wykorzystywania poczty e-mail do własnych celów osoby atakujące mogą przeszukać jej zawartość w celu znalezienia innych loginów i haseł. W końcu na adresy e-mail przesyłane są dane logowania z wielu stron, w przypadku gdy użytkownik zapomni swojego hasła – czasem wszystkie informacje są zawarte w treści wiadomości. Inne strony idą o krok dalej i wysyłają użytkownikowi e-mail zawierający login i hasło natychmiast po tym, jak zarejestruje się na portalu. Aby nie dopuścić do utraty poufnych informacji, współczesne systemy pocztowe oferują metodę uwierzytelniania dwuskładnikowego: oprócz loginu i hasła użytkownicy muszą podać kod, który zostaje przysłany na ich telefon w wiadomości tekstowej. Użytkownicy powinni również usunąć ze swojego konta e-mail wszelkie wiadomości zawierające poufne informacje.      

Portale społecznościowe nadal cieszą się popularnością wśród phisherów. Chociaż znalazły się na drugim miejscu, ich udział zmniejszył się o 1,44 punktu procentowego w stosunku do poprzedniego kwartału.  

Największy wzrost odnotowała kategoria Sklepy online (+2,47 punktu procentowego). Spowodowane było to przede wszystkim wzrostem liczby ataków na serwisy zakupów grupowych jak również na punkty sprzedaży biletów. Te ostatnie odnotowały większą aktywność phisherów w marcu.    

Odsetek ataków, których celem byli dostawcy IT, nieznacznie zmniejszył się (-2,46 punktu procentowego). Udział pozostałych kategorii nie zmienił się znacząco.   

Podsumowanie

Dzisiaj prawie wszyscy mają smartfony, a niemal każdy popularny zasób internetowy posiada wersję mobilną. Ponadto, pojawiają się specjalne aplikacje mobilne, które są wykorzystywane przez coraz większą liczbę użytkowników. Ich popularność wykorzystują osoby atakujące, rozprzestrzeniając fałszywe powiadomienia z aplikacji mobilnych. W przyszłości zjawisko to stanie się jeszcze bardziej powszechne. Spodziewamy się również wzrostu ilości wysyłek phishingowych, których celem są hasła do kont aplikacji mobilnych.  

Szkodliwe aplikacje dla systemu Android OS są rozprzestrzeniane za pośrednictwem poczty e-mail, na razie jednak są dość rzadkie. W najbliższej przyszłości możemy spodziewać się wzrostu ilości mobilnego szkodliwego oprogramowania.  

Głównym celem większości szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail jest kradzież poufnych danych. Jednak w I kwartale tego roku popularnością cieszyło się również szkodliwe oprogramowanie potrafiące rozprzestrzeniać spam i przeprowadzać ataki DDoS. Większość popularnych szkodliwych programów jest teraz wielofunkcyjnych: potrafią kraść dane z komputera ofiary, przyłączać komputer do botnetu lub pobierać i instalować inne szkodliwe programy bez wiedzy użytkownika.

Spamerzy nadal stosują różnorodne sztuczki w celu obejścia filtrów. Jedną z popularniejszych jest tworzenie „szumu w tle” w wiadomościach przy użyciu znaczników HTML jak również zaciemnianie odsyłaczy w e-mailach. Najnowszą sztuczką tego typu jest dodanie do odsyłaczy symbolu UTF-8 . Symbol ten, jeśli nie jest umieszczony na początku tekstu, jest interpretowany jako znak zero. W rzeczywistości system kodowania UTF-8  zawiera mnóstwo takich trików, które oszuści od czasu do czasu wykorzystują.     

Celem większości ataków phishingowych były konta e-mail. Użytkownicy często podchodzą beztrosko do swoich kont e-mail: wielu z nich stosuje proste loginy i hasła. Dlatego w tym miejscu chcielibyśmy przypomnieć użytkownikom, że zhakowane konto e-mail może umożliwić osobom atakującym dostęp do wszystkich informacji przechowywanych w ich skrzynkach pocztowych, łącznie z innymi loginami i hasłami. Zalecamy w miarę możliwości stosowanie mocnych haseł i uwierzytelnianie dwuskładnikowe.