Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w 2017 r.

Tagi:

Liczby roku

  • Udział spamu w ruchu pocztowym wynosił 56,63%, co stanowi spadek o 1,68% w stosunku do 2016 r.
  • Stany Zjednoczone pozostały największym źródłem spamu (13,21%).
  • 43,40% wiadomości spamowych miało rozmiar poniżej 2 KB.
  • Najbardziej rozpowszechnioną rodziną szkodliwego oprogramowania wykrytą w ruchu pocztowym była rodzina Trojan-Downloader.JS.Sload
  • System Anti-Phishing został uruchomiony 246 231 645 razy.
  • Cel phishingu stanowiło 15,9% unikatowych użytkowników

Globalne wydarzenia w spamie

Wiadomości spamowe nawiązujące do najgorętszych tematów doniesień informacyjnych to stały element ruchu śmieciowego. Trend ten jest obserwowany od kilku lat i z pewnością nie zmieni się w najbliższym czasie. W 2017 roku klęski żywiołowe (huragany Irma i Harvey, trzęsienie ziemi w Meksyku) były dla oszustów niczym prezent od losu. Oszuści „nigeryjscy” bombardowali skrzynki pocztowe prośbami o pomoc w uzyskaniu spadku po zmarłych krewnych, prośbami o datki dla ofiar klęsk itd. Klęski żywiołowe stanowiły również powszechny temat spamu reklamowego oraz wiadomości oferujących pracę i kredyty.      

1_auto.png

W 2017 r. spamerzy często odwoływali się do klęsk naturalnych

Innym ulubionym tematem spamerów są wydarzenia sportowe. Najpopularniejsze – i najczęściej wspominane w fałszywych wiadomościach reklamowych - w tej kategorii są zawody w piłce nożnej oraz Olimpiada. Już w 2016 roku zidentyfikowaliśmy e-maile nawiązujące do Mistrzostw Świata FIFA w Piłce Nożnej 2018. W następnym roku było ich jeszcze więcej i miały inny format oraz inną zawartość. Tego rodzaju e-maile informują zwykle, że w takiej a takiej loterii, zorganizowanej rzekomo przez znaną organizację, odbiorca wiadomości został losowo wybrany spośród miliona innych osób jako zwycięzca sporej nagrody pieniężnej. Poza pieniędzmi oszuści obiecują niekiedy bilety na zawody. Szczegóły są zwykle podawane w załączonym pliku, który zawiera oficjalne logo zawodów i sponsora.      

2_auto.png

„Wygrana” na loterii może zbiegać się w czasie z najważniejszymi wydarzeniami sportowymi

Oszuści „nigeryjscy” często posługują się sławnymi osobami. W szczególności powołują się na prezydentów i inne ważne osobistości ze świata polityki. W 2017 roku największą popularnością wśród oszustów cieszył się prezydent Stanów Zjednoczonych Donald Trump.    

Przewidujemy, że w 2018 r. oszuści nadal będą pilnie śledzili wydarzenia na świecie oraz sławne osoby, nie chcąc przepuścić żadnej okazji wyciągnięcia jeszcze większych pieniędzy oraz jeszcze więcej informacji osobistych od łatwowiernych ofiar.

Kryptowaluty w spamie

Jak pisaliśmy w 2017 roku, kryptowaluty zyskały stałe miejsce w spamie reklamowym i oszukańczych wiadomościach. Wydaje się, że wszystkie programy typu „Zarabiaj z domu”, piramidy finansowe, fałszywe wygrane na loterii oraz oszustwa phishingowe zostały uaktualnione, przechodząc swoisty „lifting” kryptowalutowy. Spróbujmy usystematyzować różne rodzaje spamu związanego z kryptowalutą.   

Seminaria

Ponieważ technologia blockchain stała się tematem głównych konferencji i seminariów, spamerzy w coraz większym stopniu wykorzystują ten temat do własnych celów. Reklamowane w ich wysyłkach seminaria nie zarzucają użytkowników zbyt dużą ilością szczegółów technicznych, a jedynie obiecują nauczyć, jak można zarobić na kryptowalutach. Tego rodzaju wysyłki są pochodną „tradycyjnego” spamu z kategorii „Jak zarobić na giełdach”.   

3_auto.png

Przykładowe wiadomości e-mail reklamujące „lukratywne” seminaria

Oszustwa finansowe

Szczególny rodzaj oszustw związanych z kryptowalutą dotyczy fałszywych usług „cloud mining” (kopania kryptowaluty w chmurze). Tego rodzaju usługi polegają na wynajmowaniu mocy „wydobywczej” należących do oszustów wyspecjalizowanych centrów danych. Podobne usługi oferują fałszywe strony. Warto jednak zaznaczyć, że po dokonaniu opłaty użytkownik nie otrzymuje ani mocy wydobywczej ani zwrotu pieniędzy. Ta krypto-wersja klasycznej piramidy zawiera specjalne zastrzeżenie: użytkownik „otrzymuje” dochód z kopania do momentu wciągania kolejnych ofiar (za co otrzymuje wynagrodzenie). Jednak wcześniej czy później pieniądze przestają płynąć, a pierwotna inwestycja nie zwraca się.    

4.png

Fałszywe usługi „cloud mining” oferują wysokie wynagrodzenie

W podobny sposób działają strony podszywające się pod platformy handlu kryptowalutą. Istotna różnica pomiędzy nimi a rzeczywistymi giełdami polega na tym, że pieniądze można tylko inwestować, nie można natomiast ich wypłacać. Przychody zwykle „zwiększają się” bardzo szybko, zachęcając do inwestowania kolejnych środków.

5_auto.png

Na fałszywych giełdach kryptowaluty doświadczenie naprawdę nie jest potrzebne

W subtelniejszy sposób działają brokerzy opcji binarnych (oraz ich fałszywi odpowiednicy). Pisaliśmy o nich w poprzednim raporcie.

Innym rodzajem oszustwa związanego z kryptowalutą są fałszywe serwisy oferujące wymianę jednej waluty na inną lub wymianę kryptowaluty na „realne” pieniądze. Oszuści wabią ofiary korzystnymi kursami walut, a następnie znikają z pieniędzmi.

6_auto.png

Spam jest bardzo często wykorzystywany w tego rodzaju oszustwach, ponieważ zapewnia to, czego pragną wszyscy oszuści – anonimowość.

Inne rodzaje oszustw

Bardziej tradycyjne rodzaje oszustw, takie jak fałszywe wygrane na loterii, również zaczęły wykorzystywać przynętę w postaci bitcoina:

7_auto.png

Szkodliwe oprogramowanie

CryptoLocker, którego twórcy żądali zapłaty w bitcoinach, nie był już tak często wykrywany w spamie jak w 2016 roku. Nadal jednak identyfikowaliśmy różne modyfikacje szkodników Locky, Cerber, Rack oraz innych programów ransomware. Jednocześnie szkodliwe oprogramowanie rozprzestrzeniane za pośrednictwem spamu było wyposażane w nowe możliwości, takie jak kradzież haseł z portfeli kryptowaluty oraz kopanie kryptowaluty.    

Co więcej, za pośrednictwem spamu rozprzestrzenianych było wiele szkodliwych programów podszywających się pod narzędzia do kopania bitcoinów lub instrukcje dotyczące handlowania.

8_auto.png

Załączony dokument był wykrywany jako: HEUR:Exploit.RTF.Generic

Bazy danych adresów

Reklamowane za pomocą spamu ukierunkowane bazy adresów były aktualizowane o adresy e-mail użytkowników kryptowaluty, narażając tym samym właścicieli adresów na ryzyko ataku ukierunkowanego (na przykład phishingu).

9_auto.png

Podobnie jak inne globalne gorące tematy, kryptowaluta z pewnością będzie pojawiała się w spamie jeszcze przez bardzo długi czas. Biorąc pod uwagę wysokie zyski w 2018 roku możemy spodziewać się wzrostu zarówno oszukańczego jak i phishingowego spamu związanego z „kryptowalutą”.

Spamowanie według grupy etnicznej

Jak wiadomo, za pomocą spamu oferuje się wszystko, od specyfików na zwiększenie potencji po fałszywe towary znanych marek – jest to międzynarodowe zjawisko, które nie zna granic geograficznych. Jednak 2017 rok charakteryzował się bardziej zlokalizowanym spamem pod względem zawartości.

Chiny i produkcja

Jeszcze w 2016 roku pisaliśmy o chińskich praktykach wykorzystywania spamu do międzynarodowego handlu towarami. W 2017 roku nic się pod tym względem nie zmieniło: coraz więcej chińskich firm oferuje w ten sposób swoje produkty.

Indie i IT

O ile Chińczycy sprzedają towary na rynku międzynarodowym, spam z Indii oferuje zwykle usługi IT: SEO, projektowanie stron WWW, aplikacje mobilne itd.  

10_auto.png

Rosja a seminaria

Spam rosyjski jest tworzony w, zgadza się, języku rosyjskim – a tym samym jest skierowany na rynek krajowy. Też reklamuje towary i usługi, jednak wachlarz oferowanych seminariów i szkoleń robi większe wrażenie:

11.png

 

Ameryka i ukierunkowany spam biznesowy

W Stanach Zjednoczonych prawo regulujące dystrybucję wiadomości reklamowych działa zgodnie z zasadą „opt-out” (niezgody na uczestnictwo). Zgodnie z nią, użytkownikom można wysyłać wiadomości do momentu, gdy wyraźnie wypiszą się z listy mailingowej, do której należy dostarczyć odsyłacz. Ustawa CAN-SPAM określa również wiele innych wymogów prawnych dotyczących wysyłek reklamowych. Prawo wymaga między innymi, aby treść wiadomości odpowiadała tematowi, a w tekście został podany adres fizyczny reklamodawcy. Zabrania też automatycznego gromadzenia adresów.    

Korzystając z zasady „opt-out”, wiele małych, a czasem również nie tak małych firm, wysyła materiały promocyjne do osób, które nie wpisały się na ich listę mailingową. Szara strefa prawna wynika z faktu, że nawet jeśli firmy stosujące wysyłki spamowe są fizycznie zlokalizowane w Stanach Zjednoczonych, wiadomości są rozsyłane na całym świecie, a większość państw stosuje politykę „opt-in”, która wymaga wcześniejszej zgody odbiorców. Innymi słowy, niektóre państwa z punktu widzenia prawa uznają wysyłki reklamowe za spam.   

Cechą spamu biznesowego jest jego wąskie ukierunkowanie na firmy działające w określonych obszarach. Często, wysyłki są kierowane nie do firmy jako całości, ale do osób na określonych stanowiskach.

Szkodliwe oprogramowanie a sektor korporacyjny

Liczba szkodliwych wiadomości spamowych zmniejszyła się w 2017 r. 1,6 raza w stosunku do 2016 r. Klienci Kaspersky Lab zarejestrowali łącznie 145 820 119 aktywowań Mail Anti-Virus w 2017 roku. 

12_auto.png

Liczba aktywowań Mail Anti-Virus wśród klientów Kaspersky Lab w 2017 r.

Spadek ten jest spowodowany niestabilnym działaniem botnetu Necurs, który brał udział w rozprzestrzenianiu znacznie mniejszej liczby wysyłek, a w I kwartale 2017 roku był całkowicie nieczynny. Szkodliwe wysyłki reklamowe rozprzestrzeniane za pośrednictwem botnetu Necurs były krótkie i nie miały spersonalizowanego charakteru. Ich celem było instalowanie ckyptolockerów z rodziny Locky na komputerach odbiorców.     

Ogólnie, 2017 rok odznaczał się dużym klastrem szkodliwych, ale dobrze zaprojektowanych wiadomości e-mail zawierających fragmenty korespondencji biznesowej odpowiadającej profilowi firmy jak również pełne dane organizacji, w imieniu których były wysłane.

13_auto.png

Wiadomości e-mail zawierające szkodliwe obiekty wykrywane jako Backdoor.Java.Adwind.cu

Wiadomości nie były rozprzestrzeniane na skalę masową, ale w większości ukierunkowane. Na podstawie nazw atakowanych domen można przyjąć, że osoby atakujące były głównie zainteresowane sektorem korporacyjnym, natomiast taktyka polegająca na powoływaniu się na poprzednie wiadomości odbiorcy sugeruje w niektórych przypadkach ataki typu Business Email Compromise.  

14.png

Wiadomość zawierająca szkodliwy obiekt wykrywany jako Trojan-PSW.Win32.Fareit.dnak

Szkodliwe oprogramowanie pobierane na komputer ofiary posiadało najczęściej funkcje gromadzenia szczegółowych informacji dotyczących systemu i jego ustawień (jak również haseł, uderzeń klawiszy itd.), a następnie przesyłania tych danych do zdalnego serwera.  

Phishing

Strony phishingowe migrują do HTTPS

Coraz więcej stron przenosi się do HTTPS, i nie są to tylko legalne zasoby. O ile rok temu główna rada dla użytkowników brzmiała: „sprawdź, czy strony żądające danych osobistych są bezpieczne”, dzisiaj certyfikat nie gwarantuje już bezpieczeństwa, gdyż nie wiadomo co się za nim kryje.   

Skąd oszuści uzyskują certyfikaty? W przypadku domen stworzonych specjalnie w celu oszustw, najczęściej wykorzystywane są darmowe 90-dniowe certyfikaty dwóch organów certyfikacyjnych Let’s Encrypt oraz Comodo. Zdobycie jednego z nich jest bardzo proste.   

15_auto.png

Strona phishingowa z 90-dniowym certyfikatem wydanym przez Let's Encrypt

Co więcej, strony phishingowe często znajdują się na zhakowanych zasobach, które posiadają już niezbędne certyfikaty.

16_auto.png

Strona phishingowa zlokalizowana na zhakowanym zasobie z HTTPS

Oszuści korzystają również z darmowego hostingu WWW z certyfikatem SSL:

17_auto.png

Jeśli chodzi o darmowe portale hostingowe, należy zauważyć, że osoby atakujące często korzystają z serwisów, które nie monitorują ściśle publikowanych przez użytkowników treści. Treści phishingowe   nierzadko umieszczane są na darmowych portalach hostingowych znanych firm: w ten sposób zmniejsza się ryzyko, że dana strona zostanie umieszczona na czarnej liście, ponieważ jest ona zlokalizowana w cieszącej się dobrą reputacją domenie o znanej nazwie i z dobrym certyfikacie SSL. Mimo że takie serwisy są proaktywne w walce z nielegalną zawartością, strony phishingowe w ich domenach są identyfikowane dość często.    

18_auto.png

Strona phishingowa zlokalizowana w serwisie Google Sites, która przekierowuje użytkowników do zasobu osoby trzeciej, na którym wymagane są dane systemu płatności

 

19_auto.png

Strony phishingowe zlokalizowane w serwisie Force.com

Kodowanie Punycode

Inną ważną zasadą, jaką powinniśmy stosować, jest sprawdzanie pisowni nazwy domeny. Jednak zadanie to staje się trudniejsze na skutek aktywnego wykorzystywania przez phisherów kodowania Punycode, które pomaga ukryć nazwy domen phishingowych pod domenami znanych marek. Przeglądarki WWW wykorzystują Punycode w celu wyświetlania znaków Unicode w pasku adresu, jednak jeśli wszystkie znaki w nazwie domeny należą do zestawu znaków z jednego języka, przeglądarka wyświetla je nie w formacie Punycode, ale we wskazanym języku. Oszuści wybierają znaki podobne lub identyczne w stosunku do znaków łacińskich i wykorzystują je do tworzenia nazw domen, które przypominają nazwy znanych firm.      

Technika ta nie jest niczym nowym, ale spowodowała prawdziwe zamieszanie w tym roku, zwłaszcza po artykule chińskiego badacza Xudong Zheng. Stworzył on przykładową domenę o nazwie, która w pasku adresu była identyczna jak domena Apple’a. Phisherzy nie zawsze mogą znaleźć identyczne symbole, jednak w tym przypadku rezultaty są dość przekonujące. 

20_auto.png

Przykłady domen wyświetlanych w kodzie Punycode w paskach adresu przeglądarki

Poza zewnętrznym podobieństwem do oryginalnej domeny domeny te są trudniejsze do wykrycia według słów kluczowych.

Fałszywe portfele kryptowaluty

Oszuści zawsze starają się nadążyć za najnowszymi trenami, markami oraz gorącymi tematami. Szum wokół kryptowalut w 2017 r. osiągnął takie nasilenie, że nawet osoby trzymające się na uboczu świata cyfrowego rzucały się na bitcoina, czymkolwiek on był.

W efekcie, portfele kryptowaluty stały się bardzo atrakcyjnym celem phisherów. Świadczy o tym duża liczba podszywających się pod nie stron phishingowych. Zidentyfikowaliśmy między innymi Coinbase, BitGo oraz Xapo. Pod względem liczby imitacji prowadzi blockchain.info.  

21_auto.png

Przykłady stron phishingowych imitujących logowanie użytkownika do portfeli popularnych kryptowalut 

Oszuści podrabiają również serwisy popularnych kryptowalut w celu skłonienia użytkowników do przekazania pieniędzy pod pozorem lukratywnych inwestycji.

22_auto.png

Strona podszywająca się pod popularny portal Coinbase

Oszustwa za pośrednictwem portali społecznościowych

W II kwartale przez portale społecznościowe przetoczyła się fala loterii, w których przedmiotem były bilety lotnicze. Oszuści stworzyli strony sygnowane znanymi markami branży lotniczej, które rzekomo prowadziły loterię biletów lotniczych. Po wypełnieniu krótkiej ankiety użytkownik był przekierowywany do stworzonego przez oszustów zasobu. Mogła to być zainfekowana strona, strona phishingowa „namawiająca” do zainstalowania szkodliwego oprogramowania pod pozorem aktualizacji dla przeglądarki lub strona rozprzestrzeniająca szkodliwe treści itd.

23_auto.png

Przykłady postów na Facebooku zawierających odsyłacze do różnych oszukańczych domen

Samo oszustwo nie jest niczym nowym, jednak mechanizm dystrybucji jest w tym przypadku innowacyjny: wygrywając „nagrodę” użytkownicy udostępniali niebezpieczne treści na portalach społecznościowych.

W przypadku niektórych domen w ramach takich oszustw, dostępne były statystyki aktywności odwiedzających, według których w ciągu zaledwie jednej godziny tylko jedna strona została odwiedzona przez ponad 2 500 użytkowników na całym świecie:

24.png 

W III kwartale oszuści skierowali uwagę w stronę WhatsApp i rozszerzyli swój asortyment fałszywych nagród.

 

25_auto.png

Fałszywe loterie, które rozpoczęły swoją „karierę” w mediach społecznościowych, przeniosły się do WhatsApp i wachlarz nagród rozszerzył się

 

Fałszywe wirusy

Niekiedy cyberprzestępcy nie zadają sobie nawet trudu, aby stworzyć szkodliwe oprogramowanie. Zamiast tego wykorzystują fałszywe powiadomienia o wirusach, które są rzekomo wyświetlane przez popularne systemy operacyjne. Takie komunikaty często mają postać reklam wyskakujących lub pojawiają się po przejściu użytkownika przez łańcuch przekierowań. Może to nastąpić po wypełnieniu ankiety, jak w przypadku opisanego wyżej oszustwa.          

Głównym celem oszustów jest zastraszenie użytkowników i skłonienie ich do zadzwonienia na numer „pomocy technicznej”, która oferuje rozwiązania umożliwiające „wyleczenie” ich komputerów – oczywiście nie za darmo.

26_auto.png

Przykłady stron wyświetlających fałszywe komunikaty o infekcji systemu

Zagrożeni są nie tylko użytkownicy systemu Windows. Oszuści wzięli na celownik również produkty firmy Apple.

27_auto.png

Przykład strony wyświetlającej fałszywy komunikat o infekcji systemu

Pod tą samą przykrywką cyberoszuści rozprzestrzeniają również oprogramowanie, które nie jest bezpieczne.

28_auto.png

Przykład strony wyświetlającej fałszywy komunikat o infekcji systemu i nakłaniającej do pobrania pliku 

Zwroty podatku

Innym ponadczasowym tematem spamu są zeznania podatkowe i zwrot podatku. Istotną rolę w sukcesie operacji phishingowych w tym segmencie odgrywa zaufanie obywateli do stron rządowych. Wykorzystując charakterystykę systemu podatkowego w różnych państwach, oszuści przeprowadzają udane ataki w Stanach Zjednoczonych, Francji, Kanadzie, Irlandii i w innych państwach.   

29_auto.png

Przykłady stron phishingowych wykorzystujących nazwy organów podatkowych w różnych krajach

Nowy iPhone

Wprowadzenie na rynek nowej wersji popularnego smartfona również przyciągnęło uwagę oszustów. Liczba prób przekierowania użytkowników na strony phishingowe podszywające się pod strony firmy Apple wzrosła 1,5 raza we wrześniu, gdy w sprzedaży pojawiło się najnowsze wcielenie z tej flagowej serii.   

30_auto.png

Liczba uruchomień narzędzia antyphishingowego na komputerach użytkowników w wyniku prób przekierowania na strony phishingowe z wykorzystaniem marki Apple, 2017 r.

Premiera nowego smartfona firmy Apple zainspirowała ogromną liczbę oszustw, w tym te dotyczące fałszywych loterii, sprzedaży podrabianych urządzeń oraz klasyczne oszustwa phishingowe, w których oszuści żerują na określonej marce.   

31_auto.png

Fałszywa strona logowania się Apple

Statystyki: spam

Odsetek spamu w ruchu e-mail

Udział niechcianych wiadomości w ruchu e-mail w 20017 r. zmniejszył się o 1,68% i wynosił 56,63%.

32_auto.png

Odsetek spamu w globalnym ruchu email, 2017 r.

Najniższy udział (52,67%) odnotowano w grudniu 2017 r. Najwyższy (59,56%) miał miejsce we wrześniu.  

 

Źródła spamu według państwa

W 2017 r. Stany Zjednoczone pozostały największym źródłem spamu (13,21%). 6,59% wzrost udziału w rozprzestrzenianym spamie sprawił, że Chiny awansowały na drugie miejsce (11,25%). Na trzecim uplasował się Wietnam (9,85%).          

Indie spadły z trzeciego miejsca na czwarte (7,02%), odnotowując spadek udziału spamu o 3,13%. Na dalszych miejscach znalazły się Niemcy (5,66%, +2,45%) oraz Rosja (5,40%, +1,87%).     

Siódme miejsce zajęła Brazylia (3,97%, -0,04%). Z kolei na dziewiątym znalazła się Francja (3,71%, -0,32%). Włochy zamknęły pierwszą dziesiątkę z wynikiem 1,86%, co stanowi wzrost o 0,62% w stosunku do 2016 r.  

33_auto.png

Źródła spamu według państwa, 2017 r.

Rozmiar wiadomości spamowych

W 2017 r. udział bardzo małych wiadomości e-mail (do 2 KB) w spamie po raz kolejny odnotował gwałtowny spadek i wynosił średnio 43,40% - o 18,76% mniej niż w 2016 r. Odsetek wiadomości e-mail o rozmiarze od 2 do 5 KB wynosił 5,08% - co stanowi kolejną istotną zmianę.     

34_auto.png

Wiadomości spamowe według rozmiaru, 2017 r.

Odnotowaliśmy dalszy wzrost udziału wiadomości e-mail o rozmiarze 5-10 KB (9,14%, +2,99%), wiadomości o rozmiarze 10-20 KB (16,26%, +1,79%) oraz wiadomości o rozmiarze 20-50 KB (21,23%, +11,15%). Ogólnie, spam w 2017 r. charakteryzowała mniejsza liczba bardzo małych wiadomości e-mail oraz rosnąca liczba wiadomości średniego rozmiaru (5-50 KB).

 

Szkodliwe załączniki w wiadomościach e-mail

Rodziny szkodliwego oprogramowania

35_auto.png

10 najpopularniejszych rodzin szkodliwego oprogramowania w 2017 r.

W 2017 r. najbardziej rozpowszechnioną rodzinę szkodliwego oprogramowania w ruchu e-mail stanowił Trojan-Downloader.JS.Sload – zestaw skryptów JS, które pobierają i uruchamiają na komputerze ofiary inne szkodliwe programy, w tym programy szyfrujące.

Na drugim miejscu znalazł się zeszłoroczny lider - Trojan-Downloader.JS.Agent – typowy członek tej rodziny szkodliwego oprogramowania to zaciemniony skrypt JS, który wykorzystuje technologię ADODB.Stream w celu pobierania i uruchamiania plików DLL, EXE oraz PDF.

Trzecie miejsce przypadło rodzinie Backdoor.Java.Qrat – wieloplatformowemu i wielofunkcyjnemu backdoorowi napisanemu w języku Java i sprzedawanemu w Darknecie jako tzw. MaaS (Szkodliwe oprogramowanie-jako-usługa). Zwykle jest on rozprzestrzeniany za pośrednictwem poczty e-mail w postaci załączników JAR.

Na czwartym miejscu znalazła się rodzina Worm.Win32.WBVB. Należą do niej pliki wykonywalne napisane w Visual Basic 6 (zarówno w trybie P-Code jak i Native), które nie są traktowane jako zaufane w systemie KSN. 

Pierwszą piątkę zamyka Trojan-PSW.Win32.Fareit. Celem szkodników z tej rodziny jest kradzież danych, takich jak dane uwierzytelniające zainstalowane na zainfekowanych komputerach klienty FTP, dane uwierzytelniające przechowywanie w chmurze, pliki cookie przeglądarki oraz hasła do kont e-mail. Trojany z rodziny Fareit wysyłają zebrane informacje do serwera osób atakujących. Niektóre programy z tej rodziny potrafią pobierać i uruchamiać inne szkodliwe oprogramowanie.     

Na szóstym miejscu znalazła się rodzina Trojan-Downloader.MSWord.Agent. Szkodnik ten przybiera postać pliku DOC z osadzonym macro napisanym w Visual Basic for Applications (VBA), który uruchamia się w momencie otwarcia dokumentu. Macro pobiera inny szkodliwy plik ze strony osób atakujących i uruchamia go na komputerze użytkownika.  

Na siódmym miejscu znajduje się Trojan.PDF.Badur, który podszywa się pod dokument PDF zawierający odsyłacz do potencjalnie niebezpiecznej strony.

Na ósmym miejscu plasuje się rodzina Trojan-Downloader.VBS.Agent – zestaw skryptów VBS, które wykorzystują technologię ADODB.Stream w celu pobierania archiwów ZIP i uruchamiania rozpakowywanego z nich szkodliwego oprogramowania.  

Na dziewiątej pozycji znajduje się Trojan.WinLNK.Agent. Członkowie tej rodziny szkodliwego oprogramowania posiadają rozszerzenie .lnk i zawierają odsyłacze umożliwiające pobieranie szkodliwych plików lub ścieżkę uruchomienia innego szkodliwego pliku wykonywalnego.  

Koleją rodziną trojanów loaderów, która znalazła się w rankingu Top 10, była Trojan.Win32.VBKrypt.   

 

Państwa stanowiące cel szkodliwych wysyłek reklamowych

W 2017 r. Niemcy (16,25%, +2,12%) utrzymały się na pierwszym miejscu. Chiny (12,10%) awansowały z trzeciego miejsca na drugą pozycję, zwiększając swój udział o 4,78%. Pierwszą trójkę zamknęła Rosja (6,87%, +1,27%).       

26_auto.png

Państwa atakowane przez szkodliwe wysyłki reklamowe, 2017 r.

Na dalszych miejscach uplasowały się Japonia (5,32%, -2,27%), Wielka Brytania (5,04%, -0,13%), Włochy (4,89%, -0,55%) oraz Brazylia (4,22%, -0,77%).  

Ósme miejsce zajął Wietnam (2,71%, +0,81%), a dziewiąte Francja (2,42%, -1,15%). Pierwszą dziesiątkę zamknęły Zjednoczone Emiraty Arabskie (2,34%, +0,82%).   

Dane statystyczne: phishing

W 2017 r. system Anti-Phishing został aktywowany 246 231 645 razy na komputerach użytkowników Kaspersky Lab w wyniku prób przekierowań phishingowych. Jest to o 91 273 748 więcej niż w 2016. Łącznie, 15,9% naszych użytkowników stanowiło cel phisherów.         

Atakowane organizacje

Ranking organizacji będących celem ataków phishingowych opiera się na liczbie aktywowań komponentu heurystycznego w systemie antyphishingowym na komputerach użytkowników. Komponent ten wykrywa wszystkie przypadki, gdy użytkownik próbuje kliknąć odsyłacz, który znajduje się w wiadomości e-mail lub na stronie internetowej i prowadzi do strony phishingowej, w przypadku gdy nie został jeszcze dodany do baz danych Kaspersky Lab.

Atakowane organizacje według kategorii

Olbrzymia część przypadków aktywowania się komponentu heurystycznego w 2017 r. dotyczyła stron, które odnosiły się do organizacji bankowych (27%, +1,24%). Drugie miejsce w rankingu zajęła kategoria Systemy płatnicze (15,87%, +4,32%), trzecie natomiast Sklepy internetowe (10,95%, +0,78%).     

 

37_auto.png

Rozkład organizacji będących celem ataków phishingowych według kategorii, 2017 r.

3 najpopularniejsze cele ataków phishingowych

Tak jak wcześniej, tendencja w zakresie masowych kampanii phishingowych nadal obejmuje wykorzystywanie najpopularniejszych marek. Dzięki temu oszuści znacznie zwiększają prawdopodobieństwo udanego ataku. Ranking Top 3 obejmuje organizacje, których nazwy były najczęściej wykorzystywane przez phisherów (według statystyk heurystyki dotyczących aktywowań na komputerach użytkowników):

Facebook

7,97%

Microsoft Corporation

5,57%

PayPal

4,50%

 

Geografia ataków

Państwa według odsetka zaatakowanych użytkowników

Podobnie jak w poprzednim roku, Brazylia posiadała najwyższy odsetek zaatakowanych unikatowych użytkowników w stosunku do łącznej liczby użytkowników w kraju, odnotowując wzrost pod tym względem o 1,41% do 29,02%.

38_auto.png

Odsetek użytkowników w stosunku do wszystkich użytkowników produktów Kaspersky Lab, na których komputerach został aktywowany system antyphishingowy, 2017 r.

10 państw o największym odsetku zaatakowanych użytkowników

Brazylia

29,02%

Australia

22,51%

Chiny

19,23%

Katar

18,45%

Boliwia

18,38%

Albania

17,95%

Nowa Zelandia

17,85%

Portugalia

16,76%

Angola

16,45%

Rosja

16,43%

10 państw o największym odsetku zaatakowanych użytkowników

Liczba zaatakowanych użytkowników wzrosła również w Australii (o 2,43%), wynosząc 22,5%. Na kolejnym miejscu uplasowały się Chiny (19,23%), w których udział zaatakowanych użytkowników zmniejszył się o 3,61%, oraz Katar (14,45%).

 

Wyniki

Liczba szkodliwych wiadomości spamowych w 2017 r. zmniejszyła się o 1,6 raza w stosunku do 2016 r. Spadek ten spowodowany był niestabilnym działaniem botnetu Necurs, który pośredniczył w rozprzestrzenianiu znacznie mniejszej liczby wysyłek reklamowych.

W 2008 roku spamerzy i phisherzy nadal będą uważnie śledzili wydarzenia na świecie oraz znane osoby, aby nie przepuścić żadnej okazji zarobienia pieniędzy i zdobycia informacji osobistych nieświadomych celów swoich kampanii. Spodziewamy się, że wysyłki reklamowe będą nawiązywały do Zimowych Igrzysk Olimpijskich, Mistrzostw Świata FIFA w Piłce Nożnej, wyborów prezydenckich w Rosji oraz innych wydarzeń. Co więcej, w pierwszych miesiącach roku prawdopodobnie pojawi się fala stron phishingowych oraz wysyłek reklamowych wykorzystujących temat zwrotu podatków, jako że w wielu państwach kwiecień stanowi miesiąc płacenia podatków. Temat kryptowaluty będzie obecny w spamie jeszcze przez długi czas. Biorąc pod uwagę wysokie zyski, w 2018 roku możemy spodziewać się wzrostu zarówno oszukańczego jak i phishingowego spamu związanego z „kryptowalutą”.      

Z pewności nadal będzie rosła liczba stron phishingowych wykorzystujących certyfikaty SSL. Podobnie jak wykorzystywanie różnych metod zaciemniana nazw domen.