Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin. Spam w 2014 r.

Tagi:

Rok w liczbach

Według firmy Kaspersky Lab, w 2014 roku:

  • Odsetek spamu w ruchu e-mail wynosił 66,76% - o 2,84 punktu procentowego mniej niż w 2013 roku
  • 74,5% niechcianych wiadomości e-mail miało rozmiar nie większy niż 1 KB
  • 16,71% spamu wysłano ze Stanów Zjednoczonych
  • Użytkownicy w Stanach Zjednoczonych byli celem 9,8% szkodliwych e-maili, co stanowi największy odsetek wśród wszystkich państw
  • Odnotowaliśmy 260 403 422 przypadków aktywacji systemu antyphishingowego
  • W Brazylii zarejestrowano najwyższy odsetek osób zaatakowanych przez phisherów – 27,47% wszystkich użytkowników produktów firmy Kaspersky Lab w tym państwie stanowiło cel co najmniej jednego ataku
  • Rosja odnotowała najwyższą łączną liczbę ataków phishingowych stanowiącą 17,28% wszystkich ataków na świecie
  • 42,59% ataków phishingowych uderzało w globalne portale integrujące wiele serwisów, do których dostęp jest uzyskiwany z jednego konta. 

Popularność urządzeń mobilnych a spam

Popularność urządzeń mobilnych nadal wzrasta, co wpływa na poziom spamu w ruchu e-mail: rośnie liczba serwisów reklamowych, które rozprzestrzeniają spam na urządzenia mobilne, podobnie jak liczba ofert adresowanych do spamerów, którzy czerpią zyski z takich wysyłek. Popularność urządzeń mobilnych sprawia również, że są one istotnym wektorem cyberataków: ruch e-mail obejmuje obecnie szkodliwe imitacje e-maili wysyłanych ze smartfonów jak również fałszywe powiadomienia z popularnych aplikacji mobilnych.      

Reklamy pochodzące od/reklamujące „mobilnych” spamerów

W 2014 roku spamerzy zwiększyli liczbę ofert rozprzestrzeniania reklam za pośrednictwem SMS i popularnych serwisów IM (WhatsApp, Viber itd.). Wykorzystują oni tradycyjne wysyłki spamowe w celu zdobywania nowych klientów, a liczba takich reklam wzrasta.

Obecny ruch e-mail zawiera również reklamy kierowane do spamerów „mobilnych”: oferuje im się gotowe bazy numerów telefonów oraz innych informacji kontaktowych, które mają przyciągnąć określonych odbiorców. Bazy te są często generowane z pomocą masowych wysyłek: spamerzy wysyłają wiadomości phishingowe, które wykorzystują do gromadzenia danych osobistych swoich ofiar.    

ksb_spam_2014_en_1_auto.jpg

Imitacje e-maili wysyłanych z urządzeń mobilnych

Niezwykle popularne stały się wysyłki spamowe podszywające się pod e-maile wysyłane z urządzeń mobilnych. Trafiliśmy na takie wiadomości w kilku językach; wspominały iPada, iPhone’a, Samsunga Galaxy oraz inne modele. E-maile te miały jedną rzecz wspólną – krótki tekst (czasami brak tekstu) oraz podpis „Wysłany z mojego iPhone’a”. Zwykle zawierały odsyłacze do stron phishingowych lub szkodliwe załączniki. 

Najwidoczniej spamerzy uważają, że e-mail z załączonym plikiem oraz podpisem wysłany rzekomo z iPhone’a wygląda przekonująco. Rzeczywiście, e-maile wysłane z urządzeń mobilnych rzadko wykorzystują złożony szablon. Wysyłający często wolą załączyć plik lub umieścić odsyłacz niż napisać długi tekst na smartfonie.

W niektórych przypadkach e-maile zawierały archiwum o nazwie sugerującej, że zawiera ono zdjęcie. W rzeczywistości, był to kolejny sposób rozprzestrzeniania szkodliwego oprogramowania.

ksb_spam_2014_en_2_auto.jpg

E-maile wysyłane rzekomo z urządzeń mobilnych często zawierały odsyłacze do reklam – najczęściej do stron sprzedających nielegalnie lekarstwa. Poniżej znajduje się przykład jednego z takich e-maili, w którym spamerzy wykorzystali kilka kluczowych słów jako tekst wiadomości.  

ksb_spam_2014_en_3_auto.jpg

W celu obejścia filtrów spamerzy często próbują podrabiać nagłówki techniczne e-maili (Data, X-Mailer, Message-ID), tak aby sprawiały wrażenie, że zostały wysłane z urządzeń mobilnych. Jednak po sprawdzeniu okazuje się, że zawartość tych nagłówków jest niepoprawna.

Fałszywe powiadomienia z aplikacji mobilnych

Powszechne wykorzystywanie urządzeń mobilnych przyczyniło się do innego zjawiska – spamu, który podszywa się pod powiadomienia od różnych aplikacji mobilnych, takich jak WhatsApp czy Viber. Użytkownicy są przyzwyczajeni do synchronizacji aplikacji wieloplatformowych, synchronizacji danych dotyczących kontaktów między aplikacjami oraz do różnych powiadomień pochodzących z takich aplikacji, dlatego wielu właścicieli urządzeń mobilnych nie zastanawia się długo nad e-mailem, który informuje ich o wiadomości, która przyszła na ich komunikator internetowy. To błąd: takie aplikacje mobilne nie są powiązane w żaden sposób z kontem e-mail użytkownika, co oznacza, że podobne e-maile są fałszywe.     

Dlatego też nie są prawdziwe e-maile informujące użytkowników, że otrzymali zdjęcie za pośrednictwem WhatsApp, ponieważ rejestracja na WhatsApp nie wymaga podawania adresu e-mail.  

ksb_spam_2014_en_4_auto.jpg

Co więcej, takie „zdjęcie” jest spakowane w archiwum, co również powinno obudzić podejrzenia: spakowanie obrazu nie daje żadnych korzyści, natomiast archiwa są często wykorzystywane do ukrywania szkodliwych załączników. Tak właśnie jest w omawianym przypadku: archiwum zawiera szkodliwy program.

Kolejny przykład: powiadomienie dotyczące wiadomości głosowej wysłanej rzekomo za pośrednictwem Hangouts zawiera odnośnik zamaskowany jako przycisk „Play”. Po kliknięciu go zamiast usłyszeć wiadomość głosową, użytkownik jest kierowany do zhakowanej legalnej strony, z której zintegrowany JavaScript przekierowuje go na stronę z reklamami.

ksb_spam_2014_en_5_auto.jpg

Powiadomienie o wiadomości głosowej wysłane rzekomo za pośrednictwem Vibera zawiera przycisk „Listen to Voice Message", który inicjuje pobieranie szkodliwego archiwum. 

ksb_spam_2014_en_6_auto.jpg

Globalne wydarzenia wykorzystywane w spamie

Rok 2014 obfitował w istotne wydarzenia na świecie: kryzys na Ukrainie, epidemia wirusa ebola, olimpiada w Sochi oraz Mistrzostwa Świata Piłki Nożnej w Brazylii. Każde z nich było wykorzystywane przez spamerów w celu zwrócenia uwagi na ich masowe wysyłki.   

Igrzyska olimpijskie i Mistrzostwa Świata

Olimpiada w Sochi i Mistrzostwa Świata w Piłce Nożnej w Brazylii były jedynymi wydarzeniami sportowymi zidentyfikowanymi w ruchu spamowym. W obu przypadkach, większość wiadomości spamowych została napisana w języku państwa, w którym odbywało się dane wydarzenie, sugerując, że głównymi celami oszustów byli lokalni użytkownicy.

Spam, wysyłany na krótko przed tymi wydarzeniami, zawierał mnóstwo masowych wiadomości reklamujących produkty przedstawiające symbole igrzysk. W przypadku olimpiady, oprócz towarów mających związek z olimpiadą w Sochi reklamy oferowały produkty nawiązujące do Olimpiady w Moskwie z 1980 roku.

ksb_spam_2014_en_7_auto.jpg

Uaktywnili się również oszuści „nigeryjscy”. Przed olimpiadą wysyłali e-maile w imieniu fanów, którzy prosili o pomoc w wynajęciu kwatery w Sochi lub opłaceniu różnych usług. Kibice byli rzekomo gotowi przelać 850 000 euro osobie, która będzie skłonna im pomóc. Obietnica dużej nagrody miała skłonić potencjalne ofiary, aby przymknęły oko na kilka wstępnych kosztów, jednak jak tylko żądane pieniądze zostały przelane, oszuści przepadli jak kamień w wodę, nie przekazując obiecanych pieniędzy ani nagród.    

ksb_spam_2014_en_8_auto.jpg

Zarejestrowaliśmy również wiele oszukańczych e-maili informujących odbiorców, że wygrali na oficjalnej loterii FIFA World Cup. Oczywiście, aby dostać swoje pieniądze, „zwycięzca” musiał ponieść kilka drobnych wydatków wstępnych. Naturalnie tzw. zwycięzcy w rzeczywistości nigdy nie dostają pieniędzy, które rzekomo wygrali w konkursie, w którym po pierwsze w ogólne nie brali udziału. 

ksb_spam_2014_en_9_auto.jpg

Podobne e-maile są stale wysyłane przed mistrzostwami w piłce nożnej.

Oprócz prawdziwych reklam i oszukańczych wiadomości spam wysyłany przed mistrzostwami świata zawierał również szkodliwe e-maile z odsyłaczami, które rzekomo prowadziły do stron internetowych, na których fani mogli kupić bilety na mecze. 

Śmierć Nelsona Mandeli

Naturalnie, oszuści „nigeryjscy” nie opłakują śmierci przywódców politycznych; dla nich tego rodzaju wydarzenia są idealnym pretekstem do wymyślania historii dotyczących spadku wartego wiele milionów dolarów. Śmierć Nelsona Mandeli pod koniec 2013 r. uruchomiła falę spamu „nigeryjskiego”. Osoby atakujące podszywały się pod przedstawicieli różnych fundacji i informowały odbiorcę, że uzyskał nagrodę Mandeli; „bankowcy” oferowali sekretny podział majątku rodziny Mandeli itd. W niektórych przypadkach, e-maile zwierały odsyłacze do rzeczywistych komunikatów prasowych w nadziei, że w ten sposób wiadomość będzie wyglądała na bardziej wiarygodną.  

ksb_spam_2014_en_10_auto.jpg

Wydarzenia polityczne na Ukrainie

Niestabilna sytuacja polityczna oraz konflikt militarny to kolejne źródło inspiracji spamerów „nigeryjskich”. Regularnie trafiamy na masowe wysyłki wykorzystujące konflikty w różnych państwach, w większości na Bliskim Wschodzie, jednak w 2014 roku oszuści „nigeryjscy” skoncentrowali się na Ukrainie. Autorzy oszukańczych e-maili podszywali się pod zdyskredytowanych polityków ukraińskich oraz przedsiębiorców poszukujących sposobu na wyprowadzenie swoich milionów z kraju. Odnotowaliśmy również masowe wysyłki stworzone w imieniu rosyjskich biznesmenów, którzy ucierpieli na skutek sankcji.  

ksb_spam_2014_en_11_auto.jpg

Tradycyjnie, listy „nigeryjskie” oferowały odbiorcom ogromne sumy pieniędzy w zamian za ich pomoc. Tymczasem, jeśli ofiary nawiązały korespondencję, oszuści wyłudzali od nich pieniądze na pokrycie różnych rzekomych wydatków – cła, podatków, biletów lotniczych, opłaty za zakwaterowanie w hotelu itd.

Wirus ebola

Spamerzy żerowali również na epidemii wywołanej wirusem ebola. „Nigeryjczycy” wysyłali e-maile w imieniu zainfekowanych Afrykańczyków, którzy rzekomo chcieli przekazać pieniądze na cele charytatywne. Oszuści wymyślili nowy wątek w historii, zapraszając odbiorców do udziału jako gość w konferencji organizowanej przez Światową Organizację Zdrowia. Za pracę przedstawiciela ONZ w Wielkiej Brytanii proponowali honorarium w wysokości 350 000 łącznie z samochodem.    

Dystrybutorzy szkodliwego oprogramowania żerowali na strachu ludzi przed tą śmiertelną chorobą i wysyłali wiadomości e-mail w imieniu ONZ zawierające odsyłacz do informacji na temat działań, które pozwalają zapobiec infekcji wirusem ebola. Później pojawiły się e-maile o podobnej treści, tym razem jednak „informacje z ONZ” były spakowane w załączonym archiwum.  

ksb_spam_2014_en_12_auto.jpg

W rzeczywistości zarówno odsyłacz jak i załączone archiwum zawierały szkodliwy program stworzony w celu kradzieży danych ofiary. W mailu powyżej takim szkodnikiem był Backdoor.Win32.DarkKomet.dtzn.

Sztuczki spamerów

Techniki aktywnie wykorzystywane przez spamerów w ostatnich latach można określić jako „klasyczne”.

Jedną z dobrze znanych sztuczek spamerów jest tzw. stock spam, który reklamuje udziały małych firm. Wiadomości te stanowią element oszustwa określanego jako „pump and dump spam”. Idea jest tu prosta: oszuści kupują tanio udziały, następnie wysyłają wiadomości e-mail informujące o możliwości nabycia udziałów w określonej firmie po znacznie niższej cenie dzięki wykorzystaniu gwałtownego wzrostu wartości przewidywanego w najbliższej przyszłości. W efekcie, zwiększa się popyt na udziały w firmie, ceny zostają sztucznie zawyżone, a oszuści sprzedają swoje udziały w firmie ze sporym zyskiem. Ten rodzaj oszustwa był najbardziej rozpowszechniony w latach 2006-2007, jest jednak wykorzystywany do dzisiaj.

Według firmy Kaspersky Lab, 74,5% wiadomości spamowych wysłanych w 2014 roku miało rozmiar mniejszy niż 1 KB.

W 2013 roku stock spam zawierał tylko krótki tekst z aktualną i przewidywaną cenę udziałów firmy. Niektóre masowe wysyłki zawierały autopodpis, który wskazywał, że zostało przeprowadzone skanowanie antywirusowe. Co więcej, język tego podpisu pasował do języka domeny geograficznej, która hostowała e-mail odbiorcy (celem tej powszechnej techniki jest przekonanie odbiorcy o legalności i bezpieczeństwie wiadomości e-mail). Aby zwiększyć szanse na obejście filtrów spamowych, nazwa firmy wskazywana w masowej wysyłce była zwykle „zaszumiona” przy użyciu symbolu "_" lub przerw, a fragmenty tekstu różniły się.    

ksb_spam_2014_en_13_auto.jpg

W 2014 r. zmienił się wygląd oszukańczych wysyłek masowych reklamujących udziały w firmie – spamerzy postarali się, aby wiadomości wyglądały na bardziej wiarygodne. W celu obejścia filtrów spamowych wykorzystywali kilka dobrze znanych sztuczek: 

  1. Spam graficzny. Tekst reklamowy jest zlokalizowany w obrębie obrazka, wykorzystywane jest również logo firmy. Treść, kolor, rozmiar czcionki oraz kolor tła obrazka mogą się różnić w obrębie jednej wysyłki. (Należy zauważyć, że współczesne filtry spamowe od dawna wykorzystują analizę grafiki, przy pomocy której można łatwo wykryć spam graficzny).
  2. Tekst “śmieci” znajduje się na końcu każdej wiadomości i występuje w różnych kolorach, które nie zawsze pasują do tła. Wykorzystywane są fragmenty dzieł literackich i cytaty z Wikipedii. Zakłada się, że dzięki tej metodzie każdy e-mail będzie unikatowy, a filtry spamowe będą wykrywać je jako fragment dzieła literackiego niż wiadomość spamową.  

ksb_spam_2014_en_14_auto.jpg

Najwyraźniej spamerzy próbują zrekompensować sobie stosowanie archaicznych metod poprzez wysyłanie ogromnej ilości – setek milionów - takich oszukańczych e-maili.

Jednak spamerzy często wykorzystują bardziej zaawansowane techniki w celu stworzenia w tekście “szumu w tle”. Mogą na przykład “zaszumić” główny tekst wiadomości, nie wpływając na czytelność wiadomości. W tym celu wykorzystywane są znaczniki HTML. Znaczniki otwierające i zamykające są umieszczane w głównym tekście wiadomości w kodzie HTML. W efekcie, użytkownik nie dostrzega żadnych zmian w wiadomości, ale filtr antyspamowy wykrywa każdą wiadomość e-mail jako unikatową.

Dane statystyczne

Odsetek spamu w ruchu e-mail

W 2014 r. odsetek spamu w ruchu e-mail wynosił 66,76%, co stanowi spadek o 2,84 punktu procentowego w porównaniu z poprzednim rokiem. Od momentu uzyskania wartości szczytowej (85,2%) w 2009 r. poziom spamu stale spadał. Wynika to z faktu, że reklamy legalnych towarów i usług znikają ze spamu i są zastępowane przez skuteczniejsze legalne platformy reklamowe.     

ksb_spam_2014_en_15_auto.jpg

Odsetek spamu w ruchu e-mail w 2014 r.

W 2013 r. udział spamu w ruchu e-mail nie wykazał żadnych różnic w stosunku miesięcznym, jednak w 2014 roku pojawiło się kilka zauważalnych fluktuacji, zwłaszcza w pierwszej połowie. Najniższy poziom spamu w roku (63,5%) został odnotowany w marcu. Jednak niedługo potem, w kwietniu, został odnotowany najwyższy odsetek miesięczny (71,1%). Druga połowa roku była bardziej stabilna.      

Źródła spamu według państwa

ksb_spam_2014_en_16_auto.jpg

Źródła spamu według państwa, 2014 r.

W 2013 roku Chiny stanowiły niekwestionowanego lidera wśród państw stanowiących źródła spamu. Jednak w 2014 r. odsetek niechcianych wiadomości e-mail pochodzących z tego państwa zmniejszył się o 17,44 punktu procentowego. W efekcie, Chiny spadły na trzecie miejsce w rocznym ranking i zostały wyprzedzone przez Stany Zjednoczone (-1,08 punktu procentowego) oraz Rosję (+1,98 punktu procentowego).  

Lista Top 10 źródeł spamu obejmowała trzy państwa zachodnioeuropejskie: Niemcy (+2,79 punktu procentowego), Hiszpanię (+2,56 punktu procentowego) oraz Francję (+2,33 punktu procentowego). Dwa państwa azjatyckie – Korea Południowa (-10,45 punktu procentowego) oraz Tajwan (-3,59 punktu procentowego) – które w 2013 r. zajmowały 3 i 4 miejsce, w 2014 r. spadły odpowiednio na 13 i 14 pozycję.  

Rozmiar wiadomości spamowych

ksb_spam_2014_en_17_auto.jpg

Rozmiar wiadomości spamowych w 2014 r. 

Rośnie liczba niezwykle krótkich wiadomości spamowych: w 2014 r. 77,26% niechcianych e-maili miało rozmiar mniejszy niż 1 KB – o 2,76 punktu procentowego więcej niż w 2013 r.     

Takie e-maile zawierają zwykle odsyłacze do stron reklamowych. W celu wygenerowania tekstu wiadomości e-mail spamerzy wykorzystują roboty, które składają krótkie frazy z kilku słów pochodzących ze słowników tematycznych lub zamieniają wyrazy w wiadomości na synonimy. W efekcie, powstają unikatowe wiadomości, co utrudnia zadanie filtrom spamowym. Mały rozmiar wiadomości e-mail również pomaga spamerom zredukować koszty ruchu.  

Szkodliwe załączniki w wiadomościach e-mail

Czwarty rok z rzędu najbardziej rozpowszechnione szkodliwe oprogramowanie w wiadomościach e-mail stanowiły programy próbujące kraść poufne dane, zwykle loginy i hasła do systemów bankowości internetowej. 

ksb_spam_2014_en_18_auto.jpg

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w 2014 r.

Na szczycie rankingu po raz kolejny znalazł się Trojan-Spy.HTML.Fraud.gen. Szkodnik ten jest zwykle rozpowszechniany przy użyciu wiadomości phishingowych i przypomina stronę html, na której użytkownicy są zachęcani do podania swoich poufnych danych. 

Na drugim miejscu uplasował się Email-Worm.Win32.Bagle.gt. Główną funkcjonalnością wszystkich robaków e-mail, w tym robaka Bagle, jest gromadzenie elektronicznych adresów z zhakowanych komputerów oraz wysyłanie swoich kopi na wszystkie adresy e-mail znalezione na zainfekowanym komputerze. Robaki pocztowe z rodziny Bagle mogą również otrzymywać zdalne polecenia integrowania się z innymi szkodliwymi aplikacjami.

Na trzecim miejscu uplasował się Trojan.JS.Redirector.adf, który stanowił najbardziej rozpowszechnione szkodliwe oprogramowanie w trzecim kwartale. Szkodnik ten rozprzestrzenia się za pośrednictwem poczty e-mail w archiwum ZIP niezabezpieczonym hasłem. Podszywa się pod stronę HTML zawierającą zintegrowany skrypt, który – po otwarciu przez użytkowników – przekierowuje ich na zainfekowaną stronę. Następnie zwykle oferuje załadowanie Binbota – usługi wykorzystywanej w automatycznym handlu opcjami binarnymi, które obecnie cieszą się popularnością w sieci.

Przedstawiciele rodziny Bublic zajmują 4 i 7 miejsce w ranking Top 10. Ich główną funkcjonalnością jest nieautoryzowane pobieranie i instalowanie nowych wersji szkodliwego oprogramowania na komputerach ofiar. Często pobierają modyfikację ZeuSa/Zbota. Trojany z rodziny Bublic mają postać plików EXE, ale w celu zmylenia ofiary wykorzystują ikonkę dokumentu Adobe. 

Na piątym miejscu znajduje się Email-Worm.Win32.Mydoom.l. Ten robak sieciowy z funkcjonalnością backdoora jest rozprzestrzeniany jako załącznik do wiadomości e-mail za pośrednictwem serwisów współdzielenia plików oraz zasobów sieciowych z możliwością zapisu. Szkodnik ten przechwytuje z zainfekowanych komputerów adresy e-mail, które wykorzystuje do rozprzestrzeniania wysyłek masowych. Robak pozwala również osobom atakującym zdalnie kontrolować zainfekowany komputer.   

Trojan-Banker.Win32.ChePro.ilc. uplasował się na szóstej pozycji. Ten downloader przyjmuje postać apletu CPL (komponentu panelu sterowania) i – co typowe dla tego rodzaju szkodliwego oprogramowania – pobiera trojany tworzone w celu kradzieży informacji bankowych i haseł. Celem takich trojanów bankowych są głównie klienci online banków brazylijskich i portugalskich.

Na ósmym miejscu znalazł się Trojan-Downloader.Win32.Dofoil.ea. Trojan ten pobiera na komputer ofiary inne szkodliwe programy stworzone w celu kradzieży różnych informacji użytkownika (głównie haseł) i wysyłania ich oszustom.

9 miejsce zajmuje Backdoor.Win32.Androm.dax. Szkodnik ten należy do rodziny uniwersalnych modułów botów o nazwie Andromeda/Gamarue. Główną cechą tych szkodliwych programów jest możliwość pobierania, przechowywania i uruchamiania plików wykonywalnych, pobieranie i ładowanie bibliotek DLL (bez zapisywania na dysku), pobieranie wtyczek oraz możliwość aktualizacji i usuwania swoich kopii. Funkcjonalność bota została udoskonalona o system wtyczek, który może zostać pobrany przez cyberprzestępców, jeśli jest to konieczne.   

Ranking Top 10 zamyka Exploit.JS.CVE-2010-0188.f. Exploit ten występuje jako plik PDF i wykorzystuje lukę w zabezpieczeniach aplikacji Adobe Reader w wersji 9.3 oraz starszej. Luka ta jest znana od dłuższego czasu i nie stanowi zagrożenia dla użytkowników, którzy regularnie aktualizują swoje oprogramowanie. Gdy jednak exploit trafi na starą wersję aplikacji Adobe, pobiera i wykonuje plik wykonywalny Trojan-Dropper.Win32.Agent.lcqs. Dropper ten instaluje i uruchamia szkodliwy skrypt Backdoor.JS.Agent.h, który zbiera informacje o systemie, wysyła je do serwera osób atakujących, otrzymując w odpowiedzi różne polecenia. Polecenia i wyniki ich wykonania są przesyłane w formie zaszyfrowanej.

Rodzina Andromeda pozostaje najbardziej rozpowszechnioną rodziną szkodliwego oprogramowania. Stanowiła ona 11,49% wszystkich szkodliwych programów wykrytych w załącznikach. Programy te pozwalają osobom atakującym sekretnie kontrolować zainfekowane komputery, które nierzadko stają się częścią botnetu.

Na drugim miejscu znalazł się ZeuS/Zbot (9,52%) - jeden z najpopularniejszych i najszerzej rozpowszechnionych programów stworzonych w celu kradzieży informacji bankowych, a w efekcie – pieniędzy użytkowników. Program ten jest często pobierany na komputer ofiary przez programy ładujące rozprzestrzeniane za pośrednictwem wysyłek spamowych.

Pierwszą trójkę zamknął Bublik (8,53%). Jest to rodzina szkodliwych programów ładujących, która pobiera na zaatakowany komputer modyfikacje szkodników z rodziny Zeus/Zbot. 

Państwa będące celem szkodliwych wysyłek

ksb_spam_2014_en_19_auto.jpg

Rozkład przypadków aktywacji modułu ochrony poczty według państwa, 2014 r.

Trzeci rok z rzędu pierwsza trójka państw będących najczęstszym celem szkodliwych wysyłek pozostaje niezmieniona: tworzą ją Stany Zjednoczone, Wielka Brytania oraz Niemcy. Stany Zjednoczone zachowały wiodącą pozycję mimo spadku liczby aktywacji ochrony antywirusowej o 2,22 punktu procentowego. Na drugim miejscu uplasowała się Wielka Brytania 9,63% (-1,63 punktu procentowego), na trzecim natomiast Niemcy 9,22%.

Na specjalną uwagę zasługuje Francja (3,16%), która awansowała w rankingu z 16 miejsca na 9 pozycję.

Rosja zajęła 8 miejsce (3,24%), o jedną lokatę wyżej niż w poprzednim roku. 

Sztuczki spamerów

W 2014 roku spamerzy stosowali połączenie starych i nowych sztuczek w celu zwabienia użytkowników.

Odnotowaliśmy e-maile zawierające załączone archiwa z rozszerzeniem .arj. Format ten został wprowadzony dawno temu i obecnie jest rzadko wykorzystywany. Z tego powodu nawet użytkownicy, którzy są ostrożni wobec załączonych archiwów, nie zawsze rozpoznają ten załącznik jako potencjalnie niebezpieczny. Pogram archiwizujący ARJ posiada dodatkową zaletę, ponieważ potrafi zmniejszyć do minimum rozmiar pliku.

ksb_spam_2014_en_20_auto.jpg

Oprócz niestandardowych archiwów spamerzy wysyłają również szkodliwe e-maile zawierające pliki z nietypowymi rozszerzeniami załączników, takimi jak .scr. Rozszerzenie to zwykle oznacza wygaszacz ekranu.

ksb_spam_2014_en_21_auto.jpg

Jednym z najpowszechniejszych rodzajów szkodliwego spamu i phishingu są fałszywe powiadomienia z banków. W 2014 roku spamerzy zaczęli tworzyć bardziej złożone fałszywe wiadomości, dodając więcej odsyłaczy prowadzących do oficjalnych zasobów oraz serwisów organizacji, pod które podszywały się takie fałszywe powiadomienia. Naturalnie, osoby atakujące miały nadzieję, że e-mail zawierający odsyłacze do legalnych zasobów zostanie zidentyfikowany jako legalny, zarówno przez użytkowników jak i filtry spamowe. Jednak wiadomość zawierała jeden oszukańczy odsyłacz, po kliknięciu którego na komputer ofiary pobierało się archiwum zawierające szkodliwy program.

ksb_spam_2014_en_22_auto.jpg

W niektórych przypadkach, cyberprzestępcy wykorzystywali różne serwisy oferujące skracanie adresów URL w celu zamaskowania prawdziwego odsyłacza. W rzeczywistości przekierowywały użytkownika do popularnej pamięci masowej w chmurze, w której hostowany był szkodliwy program “pod przykrywką” ważnego dokumentu. 

Phishing

Podczas przygotowywania danych statystycznych dotyczących phishingu zastosowaliśmy metodologię, która została po raz pierwszy wykorzystana w naszym raporcie “Cyberzagrożenia finansowe w 2013 r.” opublikowanym w kwietniu 2014 r. Dlatego też dane dotyczące phishingu w 2014 r. należy porównywać z danymi zamieszczonymi w tym raporcie (nie z raportem “Spam w 2013 r.”).

Źródło danych

Raport ten opiera się na danych dotyczących aktywacji systemu antyphishingowego zebranych przez system Kaspersky Security Network. System antyphishingowy zawiera trzy komponenty;

2 deterministyczne: 

  • Phishing offline, który zawiera bazę najistotniejszych sygnatur phishingowych i jest zlokalizowany na urządzeniach użytkowników. Komponent ten jest aktywowany, gdy system rozpozna odsyłacz, który pasuje do jednej z sygnatur phishingowych w bazie danych.
  • Ochrona antyphishingowa w chmurze, która zawiera wszystkie znane sygnatury phishingowe*. System odwołuje się do chmury, jeśli użytkownik trafi na odsyłacz, który nie znajduje się w lokalnej bazie antyphishingowej. Bazy danych w chmurze są aktualizowane znacznie szybciej niż te lokalne.  

1 heurystyczny:

  • Heurystyczny komponent www systemu antyphishingowego. Komponent ten jest aktywowany, gdy użytkownik kliknie odsyłacz do strony zawierającej treści phishingowe, a informacje na temat tej strony nie są jeszcze dostępne w bazach danych firmy Kaspersky Lab.

* Sygnatury phishingowe to zestaw symboli określających grupę odsyłaczy wykrywanych przez system jako phishing. Jedna sygnatura phishingowa może pomóc wykryć kilka tysięcy aktywnych odsyłaczy do stron phishingowych.

W 2014 r. komputery użytkowników produktów firmy Kaspersky Lab odnotowały 260 403 422 sytuacji, które uruchomiły system antyphishingowy. 55% (143 827 512) z nich dotyczyło aktywacji komponentu deterministycznego, a 45% (116 575 910) pochodziło z komponentu heurystycznego www.      

Odsyłacze do stron phishingowych - nie tylko w wiadomościach e-mail

Komponenty deterministyczne systemu antyphishingowego (w chmurze i offline) sprawdzają odsyłacze w przeglądarce użytkownika oraz w wiadomościach otrzymywanych za pośrednictwem komunikatorów internetowych lub wiadomości e-mail. Tylko 6,4% wszystkich aktywacji tych komponentów pochodziło z odsyłaczy zawartych w e-mailach. To sugeruje, że zamiast tradycyjnych masowych wysyłek phishingowych, phisherzy wykorzystują obecnie również inne sposoby rozprzestrzeniania odsyłaczy oraz nowych oszustw.

 

Obecnie odsyłacze do stron phishingowych są częściej rozprzestrzeniane za pośrednictwem portali społecznościowych. Nie chodzi tu jedynie o wykorzystywanie skradzionych kont; oszuści próbują wykorzystać również nieświadomych użytkowników do rozprzestrzeniania odsyłaczy phishingowych do swoich znajomych na portalach społecznościowych.  

Na przykład w lipcu 2014 r. taka sztuczka została wykorzystana do rozprzestrzeniania za pośrednictwem portali społecznościowych odsyłacza do petycji w obronie urugwajskiego piłkarza Luisa Suáreza. Aby podpisać tę petycję, użytkownicy musieli podać swoje dane osobiste, które następnie trafiały do phisherów. W dalszej kolejności ofiara była zachęcana do udostępnienia odsyłacza swoim znajomym na Facebooku. W efekcie, odsyłacz do strony phishingowej szybko rozprzestrzenił się wśród kibiców piłki nożnej i ich znajomych.  

ksb_spam_2014_en_23_auto.jpg

Przykład strony phishingowej rozprzestrzenianej za pomocą portali społecznościowych

E-maile phishingowe

Powyższe przykłady nie oznaczają, że oszuści przestali rozprzestrzeniać odsyłacze do stron phishingowych za pośrednictwem wiadomości e-mail. Nadal jest to najpopularniejszy sposób dystrybucji odsyłaczy prowadzących do fałszywych stron instytucji finansowych. Być może z tego powodu e-maile zawierające odsyłacze do stron phishingowych wysyłane są zwykle w dni powszednie, gdy użytkownicy sprawdzają swoje e-maile w pracy.    

ksb_spam_2014_en_24_auto.jpg

Aktywacja komponentów deterministycznych systemu antyphishingowego na klientach poczty użytkowników    

Popularnością wśród oszustów cieszą się również oszustwa wykorzystujące e-maile phishingowe zawierające szkodliwe załączniki, pliki HTML lub formularze HTML.

Załączenie plików lub formularzy HTML pozwala oszustom zmniejszyć koszty utrzymywania strony w sieci WWW. Standardowo wygląda to następująco: użytkownik otrzymuje fałszywe powiadomienie od organizacji, w którym zostaje poinformowany, że jego konta zostały zablokowane, dane wyciekły lub że zarejestrowano jakąś podejrzaną aktywność. Aby pomóc w rozwiązaniu problemu, użytkownicy powinni uaktualnić swoje informacje osobiste za pomocą załączonego pliku lub formularza. Dane podawane przez ofiary trafiają prosto do oszustów. W ciągu ostatniego roku zidentyfikowaliśmy dziesiątki podobnych wysyłek pochodzących rzekomo z różnych instytucji finansowych oraz innych organizacji.       

ksb_spam_2014_en_25_auto.jpg

E-mail z załączonym plikiem HTML

Atak phishingowy na klientów określonej organizacji z wykorzystaniem załączników HTML to często stosowany sposób wyłudzania od ofiar różnych informacji finansowych, z których nie wszystkie dotyczą wykorzystywanej przez oszustów firmy.

ksb_spam_2014_en_26_auto.jpg

E-mail z załączonym plikiem HTML

Powyższe przykłady pokazują sztuczki wykorzystywane przez oszustów, którzy próbują uzyskać nie tylko dane uwierzytelniające dostęp do kont online, ale również inne informacje osobiste, w tym dane dotyczące kart bankowych. 

Polowanie na grubego zwierza

Jak już wspomniano wcześniej, podczas atakowania klientów różnych organizacji oszuści często próbują zdobyć nie tylko dane dotyczące konta ofiary, ale również szczegóły dotyczące karty bankowej oraz inne poufne informacje. W ten sposób niektórzy oszuści zbierają ważne adresy e-mail, być może w celu sprzedania ich spamerom. Inni podszywają się pod bank lub podobną organizację, dla której bezpieczeństwo jest istotną kwestią, i wykorzystują tę przykrywkę w celu kradzieży informacji finansowych użytkownika, a następnie jego pieniędzy.      

Podwyższone ryzyko ataków phishingowych polega na tym, że niezależnie od zastosowanych mechanizmów służących do ochrony klientów (podwójna, potrójna weryfikacja, hasła jednorazowe itd.) zabezpieczone zostaje jedynie konto. Jeśli użytkownik przekaże oszustom swoje dane osobiste, niewiele można już zrobić, aby informacje te nie zostały wykorzystane w celu uzyskania dostępu do konta. 

Podawaliśmy już przykłady “rozszerzonego” ataku phishingowego, w którym wykorzystywane są załączniki HTML. Innym przykładem jest atak phishingowy na system PayPal. Tradycyjne oszustwo tego typu kieruje ofiary na stronę phishingową, która podszywa się pod stronę tego systemu płatności. Nieświadomi użytkownicy podają swoje nazwy użytkowników oraz hasła, wysyłając je oszustom. Następnie otwiera się kolejna strona, na której należy podać dane dotyczące karty bankowej oraz inne informacje. Użytkownicy wierzą, że bezpiecznie zalogowali się do systemu PayPal i bez namysłu podają żądane dane. Jak tylko oszuści uzyskają takie informacje, przekierowują użytkowników na ofiacjalną stronę systemu PayPal, a ofiary nie mają pojęcia, że ich dane zostały skradzione.

ksb_spam_2014_en_27_auto.jpg

Atak phishingowy na system PayPal

Oszuści przeprowadzający powyższe ataki mogą nie uzyskać dostępu do konta ofiary w systemie PayPal z powodu dodatkowych zabezpieczeń stosowanych przez firmę. Będę jednak posiadali wystarczające informcje, aby ukraść pieniądze w inny sposób.

Innym dobrym przykładem jest atak phishingowy na jedną z największych organizacji w branży telekomunikacyjnej. Na pierwszy rzut oka wydaje się, że oszuści potrzebują loginu i hasła w celu uzyskania dostępu do osobistego konta użytkownika. Jednak jak tylko ofiara zaloguje się do fałszywego konta, oszuści nie tylko poproszą o dane dotyczące karty, ale również o wszystkie inne informacje, które mogą im się przydać w celu wyłudzenia pieniędzy ofiary. 

ksb_spam_2014_en_28_auto.jpg

Atak phishingowy, którego celem są informacje osobiste ofiary 

Geografia ataków

W 2014 r. ataki phishingowe zostały zarejestrowane w niemal wszystkich krajach na świecie.

Top 10 państw według odsetka zaatakowanych użytkowników

Brazylia posiadała największy odsetek użytkowników narażonych na ataki phishingowe (27,47%).

ksb_spam_2014_en_29_auto.jpg

Odsetek użytkowników, na których komputerach został uruchomiony system antyphishingowy, w łącznej liczbie użytkowników produktów firmy Kaspersky Lab w danym kraju, 2014 r.

  

Top 10 państw według odsetka zaatakowanych użytkowników

Państwo

% użytkowników

1

Brazylia

27,45

2

Australia

23,76

3

Indie

23,08

4

Francja

22,92

5

Ekwador

22,82

6

Rosja

22,61

7

Kazachstan

22,18

8

Kanada

21,78

9

Ukraina

20,11

10

Japonia

19,51

W 2014 roku odsetek zaatakowanych użytkowników w Brazylii zwiększył się o 13,81 punktu procentowego w porównaniu z 2013 r. (gdy Brazylia znajdowała się na 23 miejscu w rankingu). Ten nagły wybuch aktywności phishingowej w Brazylii jest prawdopodobnie związany z Mistrzostwami Świata 2014, które ściągnęły do tego państwa południowoamerykańskiego tysiące kibiców z całego świata.

Rozkład ataków według państwa

Rosja odnotowała największy udział ataków phishingowych stanowiący 17,28% ogółu. Odsetek użytkowników w tym państwie, na komputerach których został aktywowany system antyphishingowy firmy Kaspersky Lab, zwiększył się o 6,08 punktu procentowego w stosunku do zeszłęgo roku. 

ksb_spam_2014_en_30_auto.jpg

Rozkład ataków phishingowych według państwa w 2014 r.

Wzrost liczby ataków na użytkowników w Rosji jest prawdopodobnie związany z pogarszającą się systuacją finansową w tym państwie w 2014 r. Ludzie wykonują więcej transakcji, próbując inwestować swoje oszczędności i dokonywać zakupów online. Jednocześnie wielu użytkowników jest zaniepokojonych tą sytuacją, dając tym samym oszustom więcej możliwości stosowania swoich sztuczek socjotechnicznych oraz żerowania na tych obawach.   

Zeszłoroczny lider – Stany Zjednoczone (7,2%) – spadł na drugie miejsce, a tym samym liczba zaatakowanych użytkowników zmniejszyła się o 23,6 punktu procentowego. Za nimi uplasowały się Włochy (7,15%) oraz Brazylia (7,03%), w których współczynniki te zwiększyły się odpowiednio o 3,7 i 5,11 punktów procentowych.        

Atakowane organizacje

Poniższe statystyki dotyczące organizacji wykorzystywanych w atakach phishingowych opierają się na aktywacji komponentu heurystycznego systemu antyphishingowego. Komponent heurystyczny jest aktywowany w momencie, gdy użytkownik klika odsyłacz do strony phishingowej, a w bazach danych firmy Kaspersky Lab nie ma informacji na temat takiej strony. 

ksb_spam_2014_en_31_auto.jpg

Rozkład organizacji będących celem ataków phishingowych w 2014 r.  

W 2014 roku odnotowaliśmy zmiany pod względem organizacji atakowanych przez phisherów. Zeszłoroczny lider, kategoria “Portale społecznościowe i blogi”, odnotowała spadek udziału z 19,62 punktu procentowego do 15,77% i została wyprzedzona przez kategorię “Portale globalne”, która zwiększyła swój udział o 19,29 punktu procentowego do 42,59%. W poprzednich raportach kategoria “Portale globalne” nosiła nazwę “E-mail”. Zmiana ta nie stanowi dużej niespodzianki: Google, Yahoo!, Yandex i podobne firmy nieustannie rozwijają swoje usługi i oferują nowe opcje, od poczty elektronicznej i portali społecznościowych po portfele elektroniczne. Jest to niezwykle wygodne dla użytkowników, ponieważ oznacza dla nich dostęp do wszystkiego z jednego konta. To również błogosławieństwo dla oszustów, ponieważ jedno hasło może zapewnić dostęp do szerokiego wachlarza zasobów cyfrowych. To dlatego Yahoo! oraz Google weszły do trójki najczęściej atakowanych organizacji, a pomiędzy nimi znalazł się Facebook.          

Top 3 najczęściej atakowanych organizacji

Organizacja

% odsyłaczy do stron phishingowych

1

Yahoo!

23,3

2

Facebook

10,02

3

Google

8,73

W 2014 roku odsetek dla Yahoo! (23,3%) zwiększył się o 13,3 punktu procentowego w porównaniu z poprzednim rokiem (częściowo z powodu gwałtownego wzrostu liczby oszukańczych odsyłaczy do fałszywych stron Yahoo! na początku stycznia 2014 r.).

Udział ataków phishingowych na instytucje finansowe wynosił 28,74% - co stanowi spadek o 2,71 punktu procentowego w stosunku do 2013 r. W sektorze tym odnotowano spadek odsetka ataków na organizacje sektora bankowego (o 13,79 punktu procentowego w stosunku do 2013). Jednocześnie, udział dla kategorii “Sklepy internetowe” oraz “Systemy płatności” zwiększył się odpowiednio o 4,78 i 9,19 punktu procentowego.

ksb_spam_2014_en_32_auto.jpg

Rozkład phishingowych ataków finansowych według typu zaatakowanych organizacji w 2013 r. 

ksb_spam_2014_en_33_auto.jpg

Rozkład finansowych ataków phishingowych według typu zaatakowanych organizacji w 2014 r.

Więcej na temat phishingu finansowego można przeczytać w naszym raporcie pt.: "Financial cyber threats in 2014: times have changed".

Zakończenie

Nadal odnotowujemy spadek odsetka spamu w ruchu e-mail; jednak w 2015 roku nie przewidujemy znaczącej zmiany pod tym względem.   

Spodziewamy się dalszego spadku ilości spamu reklamowego oraz wzrostu liczby oszukańczych i szkodliwych e-maili. Jednocześnie, pojawią się lepiej zaprojektowane fałszywe wiadomości, w których osoby atakujące będą stosowały jeszcze bardziej wyrafinowane sztuczki (takie jak szkodliwe załączniki z nietypowymi rozszerzeniami, takimi jak .arj, .scr).  

Oszuści wykorzystują szereg różnych metod w celu dystrybucji treści phishingowych. Jednak masowe wysyłki phishingowe wykorzystujące sprawdzone metody nadal są popularne i prawdopodobnie pozostaną takie jeszcze długo.   

Jako cel swoich ataków phishingowych oszuści wybierają klientów najpopularniejszych organizacji, zwiększając tym samym prawdopodobieństwo skutecznego ataku. Jednocześnie, wiele ataków jest przeprowadzanych w celu uzyskania jak największej ilości prywatnych, głównie finansowych, informacji od ofiary. Przyjmujemy, że trend ten utrzyma się w przyszłości.