Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w II kwartale 2014 r.

Tagi:

Spam: najważniejsze wydarzenia kwartału

Spam a prawodawstwo

Pierwszego lipca weszła w życie nowa ustawa antyspamowa (CASL) w Kanadzie. Nowe prawo obejmuje komunikację handlową, w tym pocztę e-mail, wiadomości za pośrednictwem portali społecznościowych oraz komunikatorów internetowych jak również SMS. Zgodnie z tą ustawą, zanim firma zacznie wysyłać e-maile, musi uzyskać zgodę odbiorcy. Wydaje się, że firmy kanadyjskie poważnie potraktowały nowe prawo: w drugim kwartale odnotowaliśmy wiele e-maili od kanadyjskich firm proszących użytkowników o pozwolenie na przesłanie mailingu. Oprócz pytania o pozwolenie maile te zawierały również odsyłacze do loterii.   

 Spam-report_Q2-2014_1_sm.jpg

Niektóre firmy wykorzystały wspomniane prawo jako pretekst do gromadzenia adresów subskrybentów. Na prośby o zgodę użytkowników na wysłanie im masowych wysyłek trafialiśmy nawet w wiadomościach z adresami pułapek spamowych, które nigdy nie zostały zapisane na żadne listy mailingowe. Co więcej, wielu użytkowników, którzy otrzymali tego rodzaju prośby, oznaczyło je jako spam.

Ten napływ próśb pokazuje, że kanadyjscy dystrybutorzy masowych wysyłek nigdy wcześniej nie myśleli o tym, czego życzą sobie użytkownicy, tylko po prostu wysyłali swoje wiadomości na adresy ze posiadanych list.

Opinie na temat nowego prawa można podzielić ogólnie na dwie kategorie. Z jednej strony, prawo antyspamowe w kolejnym państwie z pewnością pomoże w walce ze niechcianymi wiadomościami. Z drugiej strony, legalne firmy kanadyjskie, które wykorzystują masową wysyłkę, obawiają się, że mogą zostać teraz uznane za nielegalne. Microsoft najpierw zdecydował się zaprzestać wysyłania swoich wiadomości dotyczących bezpieczeństwa, jednak kilka dni później zmienił zdanie, co nie powinno wcale dziwić: mimo swej surowości ustawa CASL uwzględnia wiele wyjątków, a masowe wysyłki Microsoftu nie podlegają jej jurysdykcji. Wśród wyjątków opisywanej ustawy znajdują się masowe wysyłki zawierające różne informacje na temat danego produktu lub usługi, które użytkownik zakupił od firmy; wysyłki, których celem jest zbieranie datków; wysyłki niekomercyjne itd.  

Powrót starego gracza

W II kwartale 2014 r. odnotowaliśmy nową falę spamu reklamującego propozycje nabycia akcji w małych firmach. Jest to dobrze znana forma oszustwa akcyjnego występująca pod nazwą „pump and dump”. Szczytowy okres tego rodzaju spamu miał miejsce w latach 2006-2007, jednak oszuści nadal je stosują.  

Spam typu „pump-and-dump” jest formą oszustwa na giełdzie papierów wartościowych, w której spamerzy kupują akcje w małych firmach, sztucznie zawyżają ich ceny poprzez szerzenie informacji o przewidywanym znacznym wzroście ich wartości w najbliższej przyszłości, by następnie sprzedać takie udziały po wyższej cenie.  

Spam-report_Q2-2014_2_auto.jpg 

Co ciekawe, oprócz tych dobrze znanych sztuczek oszuści stosowali również niektóre sprawdzone metody obchodzenia filtrów:

  1. Losowy zestaw zdań dołączany na koniec każdego e-maila w kolorze zbliżonym do koloru tła (wysyłki zawierały losowe zdania z Wikipedii);  
  2. Spam obrazkowy: główne informacje znajdują się na obrazku; kolor, rozmiar tekstu, czcionka, kolor tła oraz kąt obrazka różnią się w zależności od maila.

Spam obrazkowy również był popularny w latach 2006-2007, potem jednak niemal całkowicie zniknął, gdy twórcy systemów antyspamowych opracowali mechanizmy analizy grafiki i nauczyli się skutecznie blokować tego rodzaju e-maile. Ponadto, ze względu na nadmierny „szum w tle” tego typu spam ma małe szanse na zwrócenie uwagi użytkowników. Takie wysyłki wykorzystujące „giełdę papierów wartościowych” wydają się być rozprzestrzeniane w dużych ilościach: spamerzy wysyłają setki milionów e-maili, mając nadzieję na choćby minimalny oddźwięk.

Spam a mistrzostwa świata

O ile w pierwszym kwartale 2014 roku Olimpiada Zimowa stanowiła najpopularniejszy temat sportowy wykorzystywany przez spamerów, w II kwartale ich uwaga skupiła się na Mistrzostwach Świata w Piłce Nożnej. Oprócz niebezpiecznych e-maili pojawiły się również wiadomości oferujące rezerwacje hotelowe oraz bilety na mecze, jak również reklamy pamiątek związanych z tym wydarzeniem oraz wiadomości zachęcające do typowanie wyników.

Spam-report_Q2-2014_3_auto.jpg 

Jak zwykle w takich przypadkach, temat Mistrzostw Świata był wykorzystywany w spamie, który nie był bezpośrednio związany z tym wydarzeniem. Na przykład, jeden pomysłowy Niemiec wykorzystał ten temat do reklamowania Viagry.  

Spam-report_Q2-2014_4_sm.jpg 

Pozostań mistrzem w swojej sypialni po zakończeniu mistrzostw świata” – zachęca powyższy tekst reklamy.

Wysłany z iPhone’a: e-maile o tematyce mobilnej

Kontynuując temat integracji spamu e-mail oraz urządzeń mobilnych, należy zauważyć, że w drugim kwartale 2014 roku masowe wysyłki imitujące wiadomości wysyłane z iPada i iPhone’a cieszyły się szczególną popularnością. E-maile te charakteryzowały się dużą różnorodnością – od ofert farmaceutycznych po wiadomości zawierające szkodliwe załączniki. Wszystkie z nich zawierały w swojej treści tę samą informację: „Wysłany z iPhone’a/iPada”.   

Spam-report_Q2-2014_5_auto.jpg 

W pierwszym przykładzie odsyłacz, po kilku przekierowaniach, otwierał stronę reklamującą specyfik na zwiększenie potencji męskiej; drugi załącznik zawierał szkodliwy program wykrywany przez Kaspersky Lab jako Trojan-PSW.Win32.Tepfer.tmyd. 

Wysyłki te były najprawdopodobniej wysyłane przez różne grupy spamerów, ponieważ nagłówki techniczne (takie jak Data, X-Mailer, Message-ID) różniły się znacznie. Na przykład, w niektórych e-mailach zostały napisane niedbale, w innych natomiast pola te były puste. Jedyną rzeczą, która łączyła je z rzeczywistymi wiadomościami wysłanymi z urządzeń z systemem iOS, była wspomniana fraza w treści wiadomości. W innych e-mailach nagłówki nie były dokładne, stanowiły imitację nagłówków stosowanych przez prawdziwego klienta pocztowego Apple: 

X-Mailer: iPhone Mail (9B206)
Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**

Jednak po dokładniejszej analizie okazało się, że nagłówki jedynie wyglądają jak prawdziwe (pod względem liczy symboli i umieszczenia myślników). W rzeczywistości, prawdziwe wiadomości wysyłane z urządzeń mobilnych z systemem iOS stosują kod szesnastkowy w celu zapisu Message-ID. Format szesnastkowy zawiera cyfry od 0 do 9 oraz litery ABCDEF, co oznacza, że Message-ID nie może zawierać nic poza tymi cyframi i literami. Fałszywe e-maile zawierały losowy zestaw liter i cyfr.      

Przekierowania

W celu obejścia filtrowania przestępcy często próbują ukryć adres strony, do odwiedzenia której chcą skłonić użytkownika. Odsyłacze spamowe można ukryć na wiele sposobów. Jeden z najbardziej rozpowszechnionych polega na tym, że odsyłacze w wiadomościach e-mail prowadzą do zhakowanych stron, z których użytkownik jest przekierowywany na stronę docelową. Strona ta może zawierać reklamę oraz/lub szkodliwy kod. Zwykle zhakowane strony stanowią część przekierowań systemu po prostu dlatego, że cyberprzestępcy mogą się włamać na nie, niekiedy jednak oszuści celowo je wyszukują. Trafiliśmy na przykład na masową wysyłkę, która przekierowywała użytkownika do reklamy środków farmaceutycznych za pośrednictwem zharowanej strony. Co więcej, zhakowane strony w rzeczywistości były stronami farmaceutycznymi (rxpharmacy *****. com). W ten sposób cyberprzestępcy chcą, aby odsyłacz wydawał się użytkownikom możliwie najbardziej zbliżony do prawdziwego.   

Ponadto, ostatnio trafiliśmy na wiele zhakowanych stron należących do stowarzyszeń religijnych. Jest mało prawdopodobne, że zostały zaatakowane lub poddane socjotechnice celowo – prawdopodobnie były po prostu słabo zabezpieczone.

Szkodliwe załączniki w poczcie e-mail

Spam-report_Q2-2014_6_en_sm.jpg
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w II kwartale 2014 roku

Tradycyjnie już na szczycie listy szkodliwego oprogramowania rozprzestrzenianego poprzez pocztę e-mail znajduje się Trojan-Spy.HTML.Fraud.gen. Zagrożenie to ma postać strony phishingowej HTML, na której użytkownik ma podać swoje dane osobowe, które następnie są przesyłane cyberprzestępcom. Co istotne, odsetek tych szkodliwych programów zmniejszył się o 1,67 punktu procentowego w stosunku do poprzedniego kwartału.       

Na drugiej pozycji znalazł się Trojan-Banker.Win32.ChePro.ilc. Cel tego trojana bankowego stanowią głównie klienci internetowi brazylijskich i portugalskich banków.

Po raz pierwszy od dłuższego czasu do zestawienia Top 10 weszły exploity – a jeden z nich (Exploit.JS.CVE-2010-0188.f)  od razu wskoczył na trzecie miejsce. Exploity w poczcie elektronicznej są szczególnie niebezpieczne, ponieważ zamiast plików wykonywalnych mają postać nieszkodliwych dokumentów. Ten konkretny exploit występuje w formie pliku PDF i wykorzystuje lukę w Adobe Readerze w wersji 9.3 lub starszej. Luka ta znana była od dłuższego czasu i nie stanowi żadnego zagrożenia dla użytkowników, którzy regularnie aktualizują swoje oprogramowanie. Jeśli jednak wersja programu Adobe jest stara, exploit pobiera i uruchamia plik wykonywalny wykrywany przez Kaspersky Lab jako Trojan-Dropper.Win32.Agent.lcqs. Dropper instaluje i uruchamia skrypt Java (Backdoor.JS.Agent.h), który gromadzi informacje dotyczące systemu, wysyła je na serwer atakujących i w odpowiedzi otrzymuje z niego różne polecenia. Polecenia i wyniki ich wykonania są przesyłane w formie zaszyfrowanej.          

W II kwartale 2014 r. przedstawiciele rodziny Bublik zajmowały czwarte, szóste, siódme i ósme miejsce. Ich główną funkcją jest nieautoryzowane pobieranie i instalowanie nowych wersji szkodliwego oprogramowania na komputery ofiary. Trojany te pojawiają się w postaci plików .EXE, chociaż z pomocą ikonki imitują dokumenty firmy Adobe. Często pobierają na komputery użytkowników niesławny program ZeuS/Zbot.

Na piątym miejscu uplasował się Email-Worm.Win32.Bagle.gt. Główną funkcją tego typu robaka jest zbieranie adresów e-mail ze zhakowanych komputerów. Robak z rodziny Bagle może również otrzymywać zdalne polecenia instalacji innego szkodliwego oprogramowania na zainfekowanym komputerze.

Kolejny exploit - Exploit.Win32.CVE-2012-0158.j – zakończył kwartał na dziewiątym miejscu. Szkodnik ten miał przypominać dokument Microsoft Word i wykorzystywał lukę w kodzie mscomctl.ocx w Microsoft Office. Jego działanie powoduje zainstalowanie i uruchomienie szkodliwych programów na komputerze użytkownika.  

W II kwartale ranking Top 10 zamknął Trojan-Spy.Win32.Zbot.sivm z rodziny Zbot. Zbot to rodzina trojanów, które potrafią wykonywać różne szkodliwe operacje (ich funkcje są aktualizowane z czasem), najczęściej jednak są wykorzystywane do kradzieży informacji bankowych. Zbot może również instalować szkodnika o nazwie CryptoLocker, który żąda okupu za odszyfrowanie danych użytkownika.

Rozkład pod względem nie indywidualnych powiadomień ale najpopularniejszych rodzin szkodliwego oprogramowania w II kwartale wyglądał nieco inaczej:

Spam-report_Q2-2014_7_en_sm.jpg
Top 10 rodzin szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem poczty e-mail w II kwartale 2014

Bublik (który często pobiera inne szkodliwe oprogramowanie, w szczególności trojany z rodziny Zbot), jak również sam Zbot, pozostawił daleko w tyle swoich konkurentów w rankingu. Te dwie rodziny szkodliwego oprogramowania odpowiadają za ponad jedną trzecią wszystkich wykryć szkodników w poczcie. Wynika to z tego, że większość szkodliwego oprogramowania jest wykorzystywana do kradzieży pieniędzy, a Zeus/Zbot jest jednym z najpopularniejszych i najbardziej rozpowszechnionych z takich programów. 

Na trzecim miejscu znajduje się rodzina Androm. Rodzina Andromeda składa się z backdoorów, które pozwalają cyberprzestępcom ukradkowo kontrolować zhakowany komputer. Zainfekowane tymi programami maszyny często stanowią część botnetów.   

Cele szkodliwych masowych wysyłek według państwa 

Spam-report_Q2-2014_8_en.jpg
Rozkład wykryć szkodliwych programów w poczcie według państwa w II kwartale 2014 r.

Ranking TOP 20 państw o najwyższej liczbie wykryć szkodliwego oprogramowania odnotował kilka zmian w stosunku do pierwszego kwartału 2014 roku. Odsetek szkodliwego spamu wysyłanego do użytkowników w Stanach Zjednoczonych zmniejszył się nieznacznie (-3,5 punktu procentowego). To jednak wystarczyło, aby państwo to spadło z pierwszego miejsca na trzecie, przez co na prowadzenie wyszła Wielka Brytania i Niemcy. Inne znaczące zmiany to: wzrost o 2,5 razy odsetka szkodliwego spamu wysyłanego do Brazylii, dzięki któremu państwo to awansowało z 15 pozycji na piątą. Odpowiada za to trojan bankowy z rodziny ChePro: ponad 80% przypadków tego szkodliwego oprogramowania zostało wysłanych do użytkowników brazylijskich.       

Cechy specjalne szkodliwego spamu

Cyberprzestępcy często maskują spam ze szkodliwymi załącznikami w e-mailach od znanych organizacji – serwisów dostawczych, sklepów, portali społecznościowych. Zwykle jednak wszelkie takie masowe wysyłki imitują e-maile regularnie otrzymywane przez użytkowników (rachunki, powiadomienia o statusie dostawy itd.). W II kwartale odnotowaliśmy bardziej kreatywną masową wysyłkę, wysłaną rzekomo przez sieć kawiarni Starbucks, która wykorzystywała socjotechnikę.   

 Spam-report_Q2-2014_9_auto.jpg

Nadawca widomości informował, że jeden ze znajomych odbiorcy, który chciał zachować anonimowość, złożył rzekomo zamówienie dla niego w kawiarni Starbucks. Aby przejrzeć menu, znaleźć adres oraz dokładny czas, kiedy można zrealizować zamówienie, odbiorca musiał otworzyć załącznik - plik wykonywalny, którego cyberprzestępcy nawet nie próbowali zamaskować.   

Statystyki

Odsetek spamu w ruchu pocztowym

Spam-report_Q2-2014_10_en_auto.png
Odsetek spamu w ruchu pocztowym w okresie styczeń-czerwiec 2014 r.

Odsetek niechcianych wiadomości w całym ruchu pocztowym w drugim kwartale tego roku wynosił 68,6%, co stanowi wzrost o 2,2 punktu procentowego w stosunku do poprzedniego kwartału. Wartość szczytowa została osiągnięta w kwietniu i od tego czasu udział niechcianych wiadomości w ruchu pocztowym stopniowo spadał.  

Źródła spamu według państwa

Wcześniej, nasze dane statystyczne dotyczące źródeł spamu według państwa opierały się na informacjach uzyskiwanych z pułapek spamowych rozmieszczonych w różnych państwach. Jednak spam z takich pułapek różni się od spamu otrzymywanego przez zwykłych użytkowników. Na przykład, do pułapek nie trafiają niechciane wiadomości wysyłane do specjalistycznych firm. Dlatego też zmieniliśmy źródło danych i obecnie tworzymy raporty statystyczne na temat spamu przy pomocy systemu KSN (Kaspersky Security Network) na podstawie wiadomości otrzymywanych przez użytkowników naszych produktów na całym świecie. Ponieważ informacje wykorzystane w czerwcowym w raporcie statystycznym zostały uzyskane z innego źródła, porównanie wyników ze statystykami dotyczącymi wcześniejszego kwartału byłoby niepoprawne.  

Spam-report_Q2-2014_11_en.jpg
Źródła spamu według państwa w II kwartale 2014 r. 

Na pierwszym miejscu rankingu najpopularniejszych źródeł spamu znajdują się Stany Zjednoczone, które odpowiadają za 13,4% śmieciowej poczty wysyłanej na całym świecie. Nie jest to żadną niespodzianką, ponieważ Stany Zjednoczone stanowią państwo z największą liczbą użytkowników internetu. Nawet jeśli świadomość użytkowników odnośnie zagrożeń internetu jest wysoka, nie każdy może uniknąć infekcji na swoim komputerze, która może skutkować przyłączeniem maszyny do botnetu rozprzestrzeniającego spam.     

Rozkład innych źródeł spamu według państwa jest dość równomierny. Można to tłumaczyć tym, że botnety są rozprzestrzenione na całym świecie, co oznacza, że niemal w każdym państwie znajdują się zainfekowane komputery.

Na drugim miejscu uplasowała się Rosja, która odpowiadała za 6% globalnego spamu. Trzecią pozycję zajmuje Wietnam (5%).

Według naszych danych statystycznych, w wielu państwach znaczną część przychodzącej poczty śmieciowej stanowi „spam krajowy”, tj. taki, który pochodzi z i jest adresowany do użytkowników jednego państwa. W II kwartale 18% spamu wysyłanego do użytkowników rosyjskich pochodziło z Rosji. W Stanach Zjednoczonych „spam krajowy” odpowiadał za 27,2% poczty śmieciowej tego kraju. Taki sam trend można zauważyć w innych dużych państwach, z których wysyłany jest znaczny odsetek światowego spamu. W mniejszych państwach spam w większości pochodzi zza granicy.    

Rozmiar e-maili spamowych

Spam-report_Q2-2014_12_en_auto.jpg
Rozmiar wiadomości spamowych: II kwartał 2014 r.

Rozkład wiadomości spamowych według rozmiaru był niemal identyczny jak w poprzednim kwartale. Zdecydowanie najpowszechniejsze są niewielkie wiadomości spamowe o rozmiarze poniżej 1 KB – są łatwiejsze i szybsze do wysłania.

W II kwartale odnotowaliśmy spadek odsetka e-maili o rozmiarze 2-5 KB (-2,7 punktu procentowego) oraz niewielki wzrost liczby e-maili o rozmiarze 5-10 KB. Może to być spowodowane wzrostem udziału spamu obrazkowego: po pierwsze, pojawiło się mnóstwo masowych wysyłek w ramach oszustw giełdowych zawierających obrazy (patrz powyżej); po drugie, rosyjskojęzyczny spam z kategorii „Jak odchudzić się” oraz „Podrabiane produkty znanych projektantów” również zawierał dużo obrazków.

Phishing

W II kwartale 2014 roku komponent antyphishingowy firmy Kaspersky Lab odnotował 60 090 173 wykryć. Phisherzy najczęściej atakowali użytkowników w Brazylii: co najmniej raz w ciągu kwartału komponent antyphishingowy systemu był aktywowany na komputerach 23,2% użytkowników brazylijskich.  

Spam-report_Q2-2014_13_auto.png
Rozkład geograficzny ataków phishingowych w II kwartale 2014 r.*

* Odsetek użytkowników, na których komputerach został aktywowany komponent antyphishingowy w stosunku do łącznej liczby wszystkich użytkowników firmy Kaspersky Lab.

Top 10 państw według odsetka zaatakowanych użytkowników:

 

Państwo

% zaatakowanych użytkowników

1

Brazylia

23,2%

2

Indie

19,2%

3

Portoryko

18,6%

4

Japonia

17,1%

5

Francja

17,0%

6

Armenia

16,8%

7

Republika Dominikańska

16,2%

8

Rosja

16,1%

9

Australia

16,1%

10

Wielka Brytania

15,8%

Brazylia weszła do rankingu Top 10 dopiero w 2014 roku. Wzrost aktywności phisherów atakujących użytkowników brazylijskich można przypisać temu, że w państwie tym odbywały się Mistrzostwa Świata.

Cele ataków według organizacji

Statystyki dotyczące celów ataków phishingowych opierają się na wykryciach komponentu antyphishingowego firmy Kaspersky Lab. Jest on aktywowany za każdym razem, gdy użytkownik odwiedzi stronę phishingową, jeśli informacje o niej nie są zawarte w bazach danych Kaspersky Lab. Nie ma znaczenia, w jaki sposób użytkownik znalazł się na takiej stronie – klikając odsyłacz zawarty w mailu phishingowym lub w wiadomości na portalu społecznościowym, lub na przykład w wyniku aktywności szkodliwego oprogramowania. Po aktywacji systemu bezpieczeństwa użytkownikowi zostaje wyświetlony w przeglądarce banner ostrzegający przed potencjalnym zagrożeniem.

W poprzednich raportach podczas analizy najatrakcyjniejszych celów ataków phishingowych odnosiliśmy się do rankingu TOP 100 organizacji. W II kwartale analizowaliśmy dane statystyczne dotyczące wszystkich zaatakowanych organizacji. 

Podczas ataków na organizacje z kategorii „Banki”, „Systemy e-płatności”, „Sklepy internetowe i aukcje elektroniczne” osoby atakujące były zainteresowane informacjami osobistymi użytkowników, które umożliwiały im uzyskanie dostępu do ich kont elektronicznych. Dlatego też połączyliśmy te trzy kategorie w jedną – „Finanse online”. 

Spam-report_Q2-2014_14_en.jpg
Organizacje najczęściej atakowane przez phisherów według kategorii – II kwartał 2014 r.

Poniżej znajduje się podobny diagram dla poprzedniego kwartału:

Spam-report_Q2-2014_15_en.jpg
Organizacje najczęściej atakowane przez phisherów według kategorii – I kwartał 2014 r.

Podobnie jak w I kwartale 2014 r., w II kwartale na pierwszym miejscu rankingu organizacji najczęściej atakowanych przez phisherów znalazła się kategoria „Globalne portale internetowe”: jej udział zmniejszył się o zaledwie 1,7 punktu procentowego. Kategoria ta zawiera portale, które łączą w sobie wiele usług, w tym wyszukiwania i poczty e-mail. Dane skradzione z takiego portalu pozwalają oszustom uzyskać dostęp do wszystkich oferowanych przez nie usług. Najczęściej phisherzy imitują strony uwierzytelniające usługi e-mail.      

Spam-report_Q2-2014_16_en.jpg
Ataki phishingowe na globalne portale internetowe *

* Ranking ten nie pokazuje poziomu bezpieczeństwa celów phisherów, odzwierciedla jednak popularność i wiarygodność takich serwisów wśród użytkowników, co wpływa na ich atrakcyjność wobec phisherów.

Phishing finansowy odpowiadał za 24,84% wszystkich ataków, co stanowi wzrost o 1,8 punktu procentowego w porównaniu z poprzednim kwartałem. Odsetek wykryć z kategorii „Banki i sklepy internetowe” zwiększył się odpowiednio o 0,93 i 0,85 punktu procentowego.   

Na trzecim miejscu pozostały portale społecznościowe.

Spam-report_Q2-2014_17_en.jpg
Ataki phishingowe na portale społecznościowe*

* Ranking ten nie odzwierciedla poziomu bezpieczeństwa celów phisherów, ale popularność i wiarygodność tych usług wśród użytkowników, co wpływa na ich atrakcyjność dla phisherów.

W pierwszym kwartale Facebook odpowiadał za 79,5% łącznej liczby prób kliknięcia przez użytkowników odsyłaczy prowadzących do fałszywych portali społecznościowych. W II kwartale liczba ataków phishingowych na użytkowników Facebooka zmniejszyła się znacznie (-23,54 punktu procentowego), podczas gdy odsetek prób odwiedzenia przez użytkowników fałszywych stron w rosyjskich portalach społecznościowych Odnoklassniki (podobny do NK.pl) (+18,7 punktu procentowego) oraz VKontakte (+10,68 punktu procentowego) znacznie wzrósł.        

3 organizacje najczęściej atakowane przez phisherów  

 

Organizacja

% odsyłaczy phishingowych

1

Yahoo!

30,96%

2

Google Inc

8,68%

3

Facebook

8,1%


W II kwartale 2014 roku, odsetek odsyłaczy phishingowych do stron serwisów Yahoo! stanowił 30,96% wszystkich ataków.

Yahoo! znalazł się na pierwszym miejscu rankingu najpopularniejszych celów phisherów w pierwszym kwartale 2014 roku. Jego udział we wszystkich atakach wynosił jedynie 31.94% po gwałtownym wzroście liczby oszukańczych odsyłaczy na początku stycznia.

Spam-report_Q2-2014_18_en_auto.png
Liczba dziennych wykryć na stronach phishingowych imitujących strony Yahoo!, I kwartał 2014 r.  

W drugim kwartale nie odnotowaliśmy żadnych wartości szczytowych pod względem liczby wykrytych odsyłaczy phisingowych do fałszywych stron Yahoo!

W styczniu tego roku Yahoo! ogłosił na swoim blogu wprowadzenie HTTPS domyślnie dla swojego serwisu pocztowego. Ten środek bezpieczeństwa, oprócz ochrony transmitowanych danych, może pomóc w walce z phisherami: obecnie w razie ataku phishingowego, gdy nazwa domeny w pasku adresu pozostaje niezmieniona (na przykład, serwer DNS jest podmieniany), brak ikonki bezpiecznego połączenia na pasku adresu powinien obudzić czujność użytkownika. Jednak brak bezpiecznego połączenia to tylko jedna oznaka strony phishingowej, natomiast jego obecność nie gwarantuje autentyczności strony.     

Spam-report_Q2-2014_19_auto.jpg
Przykład strony phishingowej imitującej stronę autoryzacji serwisu pocztowego Yahoo!

W II kwartale Google (8,68%) stał się drugim pod względem popularności celem phishingu, wyprzedzając Facebooka. Wcześniej, phisherzy imitowali stronę wejściową serwisu Gmail, teraz natomiast przerzucili się na stronę uwierzytelniania wspólną dla wszystkich serwisów Google. Jest to niezwykle atrakcyjny cel phisherów – „Jedno konto, wszystkie serwisy Google”.     

W badanym okresie trafiliśmy na bardzo ciekawy przykład apetytu phisherów, którym najwyraźniej nie wystarczy atakowanie samego Google:  

Spam-report_Q2-2014_20_auto.jpg 

Ta strona phishingowa podszywająca się pod stronę uwierzytelniającą wszystkie konta Google daje właścicielom kont e-mail AOL, Hotmail oraz Yahoo możliwość wyboru haseł.  

Zeszłoroczny lider, Facebook, spadł o jedno miejsce i uplasował się na trzeciej pozycji w rankingu pod względem wykryć dokonanych przy użyciu komponentu antyphishingowego (8,02%). Odsetek ataków phishingowychm, których celem są użytkownicy portali społecznościowych, jest znacznie niższy niż odsetek odwiedzających globalne portale internetowe, jednak te pierwsze nadal stanowią przedmiot zainteresowania phisherów, których celem są konta użytkowników na całym świecie..      

Gorące tematy w phishingu

Głównym „sezonowym” tematem wykorzystywanym przez phisherów były Mistrzostwa Świata w Piłce Nożnej.

Spam-report_Q2-2014_21.jpg
„Szansa na wygranie biletów na kolejny mecz mistrzostw świata"

Oszuści wykorzystywali temat piłki nożnej aż do końca mistrzostw świata. Pierwsze masowe wysyłki związane z futbolem pojawiły się na początku 2014 roku, a następnie były wysyłane regularnie w ciągu pierwszej połowy roku. Phisherzy zwykle imitowali wiadomości od znanych organizacji (głównie FIFA) i prosili użytkowników, aby kliknęli odsyłacz prowadzący do strony oferującej możliwość wygrania cennej nagrody. Nagrodą, jak w przykładzie powyżej, były zazwyczaj bilety na mecz w ramach mistrzostw świata. Użytkownik musiał podać swoje informacje osobiste, w tym dane dotyczące karty kredytowej, tj. stanowiące zasadniczo przedmiot zainteresowania oszustów.     

Ponadto, w II kwartale phisherzy skierowali swoją uwagę na sieć popularnych restauracji fast-food McDonald's. W kwietniu osoby atakujące próbowały wyłudzić dane dotyczące kart od użytkowników portugalskojęzycznych. Fałszywy e-mail informował odbiorców o możliwości wygrania 150 euro oferowanej przez McDonald's. W tym celu należało kliknąć zawarty w e-mailu odsyłacz i wziąć udział w badaniu. Strona phishingowa, która otwierała się po kliknięciu przez użytkownika odsyłacza, sugerowała, aby użytkownik odpowiedział na kilka pytań i podał dane dotyczące swojej karty kredytowej w celu rzekomego przelania wygranej. Właśnie na to polowali przestępcy – wielu niczego niepodejrzewających użytkowników wysyła swoje dane osobiste osobom trzecim, nie podejrzewając, jakie plany mają oszuści.   

Spam-report_Q2-2014_22_auto.jpg 

Istotnym szczegółem jest to, że oszukańczy e-mail był napisany w języku portugalskim i najprawdopodobniej adresowany do mieszkańców Brazylii i Portugalii, podczas gdy tekst badania był w języku angielskim, co jest dość typowe dla tego rodzaju „badań”.

Podsumowanie

W drugim kwartale 2014 roku trafiliśmy na wiele masowych wysyłek pochodzących z różnych organizacji kanadyjskich, które chciały uzyskać zgodę odbiorców na otrzymywanie masowych wysyłek, zanim wejdzie w życie nowa ustawa antyspamowa. W celu przyciągnięcia nowych użytkowników firmy wysyłały prośby na adresy e-mail z list, które zawierały wiele adresów osób niebędących już odbiorcami ich wysyłek. Mimo to, ustawa zaczęła dawać pozytywne skutki, zanim jeszcze weszła w życie.    

Jednym z najpopularniejszych tematów spamu w II kwartale był spam dotyczący giełdy papierów wartościowych wykorzystywany w oszustwach typu „pump and dump". Co ciekawe, dystrybutorzy spamu wykorzystującego ten sprawdzony temat próbowali obejść filtry przy użyciu znanych metod – spamu obrazkowego i „białego tekstu”.

Nadal wykorzystywany był temat mobilny w spamie, przy czym fałszywe powiadomienia były wysyłane z urządzeń z systemem iOS. Większość imitacji nie brała pod uwagę specyfiki tego systemu operacyjnego, co oznaczało, że wysyłki były łatwo wykrywane. 

W II kwartale 2014 roku Fraud.gen pozostał najpopularniejszym szkodliwym programem rozprzestrzenianym za pośrednictwem poczty. Celem tego szkodnika była kradzież danych użytkowników dotyczących bankowości. Na drugim miejscu znalazł się brazylijski trojan bankowy ChePro. Wśród najpopularniejszych rodzin szkodliwego oprogramowania był Bublik i Zeus/Zbot. Co ciekawe, po długiej przerwie do rankingu TOP 10 powróciły dwa exploity, z których jeden od razu uplasował się na trzecim miejscu.    

Temat Mistrzostw Świata był aktywnie wykorzystywany zarówno do reklamowania towarów jak i w szkodliwym i phishingowym spamie. Odsetek szkodliwego spamu wysyłanego do Brazylii w II kwartale zwiększył się o 2,5-ktornie w porównaniu z poprzednim kwartałem (głównie za sprawą rodziny trojanów bankerów ChePro). Brazylia znalazła się również na pierwszym miejscu rankingu państw najczęściej atakowanych przez phisherów. Kategoria „Globalne portale internetowe” objęła prowadzenie wśród organizacji będących najczęstszym celem ataków phishingowych.      

Według statystyk KSN, na pierwszym miejscu listy najpopularniejszych źródeł spamu według państwa znalazły się Stany Zjednoczone. Na drugim miejscu uplasowała się Rosja, a niżej Wietnam. Co ciekawe, w wielu dużych państwach spora część spamu otrzymanego przez użytkowników pochodziła z ich własnych terytoriów.