Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w II kwartale 2018 r.


Najważniejsze wydarzenia kwartału

Rozporządzenie RODO jako haczyk phishingowy

W pierwszym kwartale omawialiśmy spam wykorzystujący rozporządzenie RODO (Rozporządzenie o ochronie danych osobowych), które weszło w życie 25 maja 2018 r. W tym czasie ruch spamowy związany z RODO ograniczał się do zaproszeń do udziału w warsztatach i innych inicjatywach edukacyjnych oraz zakupu oprogramowania lub baz danych. Przewidywaliśmy, że w dalszej kolejności pojawią się oszukańcze wiadomości e-mail. I rzeczywiście pojawiły się w drugim kwartale. 

Jak nakazywały wymogi rozporządzenia, firmy informowały klientów za pośrednictwem poczty e-mail, że wprowadzają nową politykę zgodną z rozporządzeniem RODO, i prosiły ich o potwierdzenie zgody na przechowywanie i przetwarzanie danych osobowych. Właśnie to wykorzystywali przestępcy. W celu uzyskania dostępu do informacji osobowych klientów znanych firm przestępcy rozsyłali wiadomości phishingowe nawiązujące do rozporządzenia RODO i proszące odbiorców o uaktualnienie informacji dotyczących swoich kont. W tym celu klienci musieli kliknąć wskazany odsyłacz i podać żądane dane, które natychmiast trafiały w ręce przestępców. Należy zauważyć, że celem osób atakujących byli klienci organizacji finansowych oraz dostawców usług IT.       

180810-spam-report-q2-18-1_auto.png

Wiadomości phishingowe wykorzystujące rozporządzenie RODO

Szkodliwe załączniki IQY

W drugim kwartale zidentyfikowaliśmy kilka incydentów dotyczących szkodliwego spamu z niespotykanymi wcześniej rozszerzeniami IQY (Microsoft Excel Web Query). Osoby atakujące maskowały te pliki jako faktury, formularze zamówień, kopie dokumentów itd. Jest to znana sztuczka, która nadal jest aktywnie stosowana w przypadku szkodliwego spamu. Pole Od zawiera adresy, które przypominają wiadomości prywatne, a nazwy załączników są generowane według następującego schematu: nazwa załącznika, a dalej data lub losowy ciąg liczbowy. 

180810-spam-report-q2-18-2_auto.png

Szkodliwe pliki .iqy

Kiedy ofiara otwiera pliki IQY, komputer pobiera kilka trojanów downloaderów, które instalują backdoora Flawed Ammyy RAT. Łańcuch infekcji może wyglądać następująco: Trojan-Downloader.MSExcel.Agent pobiera innego downloadera z tej samej rodziny, który z kolei pobiera szkodnika o nazwie Trojan-Downloader.PowerShell.Agent. Następnie trojan ten pobiera szkodnika Trojan-Downloader.Win32.Dapato, który ostatecznie instaluje backdoora Backdoor.Win32.RA-based.hf (znanego również jako Flawed Ammyy RAT), który służy do uzyskiwania zdalnego dostępu do komputera ofiary, kradzieży plików oraz informacji osobistych jak również wysyłania spamu.      

Załączniki te są dość trudne do wykrycia, ponieważ pliki z takim rozszerzeniem przypominają zwykłe dokumenty tekstowe, które przesyłają parametry przesyłania danych dot. zapytań WWW ze zdalnych źródeł do arkuszy kalkulacyjnych Excela. Pliki IQY mogą stanowić również bardzo niebezpieczne narzędzie w rękach przestępców, ponieważ ich struktura nie różni się od struktury legalnych plików, mogą być jednak wykorzystane do pobrania dowolnych danych.  

Należy zauważyć, że szkodliwy spam z załącznikami IQY jest rozprzestrzeniany za pośrednictwem największego botnetu Necurs. Dla przypomnienia warto wspomnieć, że botnet ten jest wykorzystywany do dystrybucji szkodliwego spamu (ransomware, makrowirusy itd.) jak również spamu typu „pump-and-dump” oraz randkowego. Działanie botnetu charakteryzuje się okresami wzmożonej aktywności oraz bezczynności, a mechanizmy infekowania i obchodzenia filtrów stają się coraz bardziej wyrafinowane.

Wycieki danych

Fala wycieków poufnych informacji, o której pisaliśmy w poprzednim kwartale, nadal wzrasta. Poniżej przedstawiamy jedne z najistotniejszych wydarzeń tego kwartału:

  • Atak hakerski oraz kradzież informacji osobowych klientów 27M Ticketfly;
  • Na publicznym serwerze znaleziono informacje osobowe użytkowników serwisu genealogicznego 92M MyHeritage;
  • Firma marketingowa Exactis utraciła 340M indywidualnych dokumentów;
  • Niechroniony serwer Amazon umożliwił dostęp do informacji osobowych 48 milionów użytkowników serwisów Facebook, LinkedIn, Twitter oraz Zillow. 

Na skutek tego rodzaju wycieków cyberprzestępcy wchodzą w posiadanie nazw użytkowników, ich adresów e-mail, numerów telefonu, dat urodzeń, numerów kart kredytowych oraz informacji dotyczących preferencji. Takie informacje mogą zostać następnie wykorzystane do przeprowadzenia ukierunkowanych ataków phishingowych, które stanowią najniebezpieczniejszy rodzaj phishingu.  

Kryptowaluta

W drugim kwartale nasz system antyphishingowy udaremnił 58 000 prób połączenia się użytkowników ze stronami phishingowymi podszywającymi się pod popularne portfele kryptowaluty oraz rynki. Oprócz klasycznego phishingu, którego celem jest uzyskanie dostępu do kont ofiar oraz informacji dot. klucza prywatnego, cyberprzestępcy wykorzystują każdy sposób, aby skłonić ofiarę do dobrowolnego wysłania im kryptowaluty. Przykładem jest rozdawanie kryptomonet. Cyberprzestępcy nadal wykorzystują nazwy nowych projektów ICO w celu zbierania funduszy wśród potencjalnych inwestorów, którzy próbują uzyskać „wczesny” dostęp do nowych tokenów. Niekiedy strony phishingowe pojawiają się, zanim jeszcze powstaną oficjalne strony związane z projektem.      

Ethereum (ETH) stanowi obecnie najpopularniejszą kryptowalutę wśród phisherów. Jej popularność wśród cyberprzestępców rośnie, ponieważ projekty ICO na platformie Ethereum przyciągają coraz więcej funduszy. Według naszych przybliżonych szacunków (w oparciu o dane uzyskane z ponad tysiąca portfeli ETH wykorzystywanych przez oszustów), w drugim kwartale 2018 r. cyberprzestępcy wykorzystujący ICO zdołali zarobić 2 329 317 dolarów (kurs z końca lipca 2018 r.), bez użycia tradycyjnego phishingu.

180810-spam-report-q2-18-3_auto.png

Fałszywe strony projektów ICO: pierwsza jest zlokalizowana na fantom.pub i podszywa się pod fantom.foundation, prawdziwą stronę projektu FANTOM; druga, zlokalizowana na sparkster.be, stanowi imitację sparkster.me, oryginalnej strony SPARKSTER

 

Mistrzostwa Świata 2018 r.

Cyberprzestępcy z całego świata przygotowywali się na Mistrzostwa Świata w takim samym stopniu co organizatorzy tej imprezy czy kibice piłki nożnej. Mistrzostwa Świata były wykorzystywane w wielu tradycyjnych oszustwach opierających się na socjotechnice. Cyberprzestępcy tworzyli fałszywe strony internetowe partnerów mistrzostw w celu uzyskania dostępu do kont bankowych swoich ofiar i innych, przeprowadzali ataki ukierunkowane oraz tworzyli fałszywe strony logowania się do konta na stronie fifa.com.

HTTPS

Jak już wspomniano w raporcie obejmującym 2017 r., coraz więcej stron phishingowych znajduje się dzisiaj w certyfikowanych domenach. Mogą one obejmować zhakowane lub specjalnie zarejestrowane domeny, które cyberprzestępcy wykorzystują do przechowywania swoich treści. Ma to związek z tym, że Internet w większości przechodzi na protokół HTTPS i uzyskanie prostego certyfikatu nie stanowi problemu. W połowie drugiego kwartału skłoniło to Google do poinformowania o planowanych działaniach dotyczących zmiany obsługi certyfikatów przez przeglądarkę Chrome. Począwszy od września 2018 r. przeglądarka (Chrome 69) przestanie oznaczać strony HTTPS jako „bezpieczne” na pasku URL. Zamiast tego od października 2018 r. Chrome zacznie wyświetlać komunikat „Niezabezpieczony”, gdy użytkownicy będą wprowadzać dane na niezaszyfrowanych stronach.   

4.gif

Gdy w październiku 2018 r. wyjdzie Chrome 70, dla wszystkich stron HTTP, na których użytkownicy wprowadzają dane, będzie wyświetlane oznaczenie „Not secure”  

Google uważa, że skłoni to więcej stron do stosowania szyfrowania. W końcu użytkownicy powinni oczekiwać od sieci Web, że będzie domyślnie bezpieczna i otrzymają ostrzeżenie tylko w przypadku pojawienia się problemów.

5_auto.png

Przykład strony phishingowej z certyfikatem oznaczonej jako „Secure”

Obecnie zielony komunikat „Secure”, który jest wyświetlany w pasku URL, jest mylący dla użytkownika, szczególnie gdy odwiedza stronę phishingową.

Sezon wakacyjny

Przed okresem wakacyjnym cyberprzestępcy wyczerpali wszystkie potencjalne tematy, jakie mogą zainteresować turystów, od zakupu biletów lotniczych po rezerwacje hoteli. Znaleźliśmy na przykład wiele stron oferujących bardzo atrakcyjne zakwaterowanie po śmiesznie niskiej cenie (np. czteropokojowy dom w Pradze z basenem i kominkiem za jedyne 1 000 dol. miesięcznie). Takie strony podszywają się pod Amazon, TripAdvisor oraz inne popularne wśród turystów serwisy.   
6.png

Przykład fałszywej strony z rezerwacją hoteli

Podobna metoda jest wykorzystywana w celu tworzenia fałszywych serwisów oferujących bilety różnych linii lotniczych. W takich przypadkach, wyświetlane informacje o locie są prawdziwe, ale bilety okazują się fałszywe.

7_auto.png

Kanały dystrybucji

W naszych raportach regularnie powtarzamy, że phishing i inne formy spamu już dawno temu wykroczyły poza pocztę e-mail. Osoby atakujące wykorzystują każdy środek komunikacji, jakim dysponują, a nawet rekrutują niczego nieświadomych użytkowników w celu rozprzestrzeniania szkodliwego oprogramowana. W badanym kwartale większość przeprowadzonych na dużą skalę ataków zostało zidentyfikowanych w komunikatorach i na portalach społecznościowych.   

WhatsApp

Ostatnio cyberprzestępcy częściej wykorzystywali WhatsApp w celu rozprzestrzeniania swoich treści. Użytkownicy WhatsApp sami kopiują i przesyłają dalej wiadomości spamowe, tak jak obserwowaliśmy to wiele lat temu w przypadku tzw. łańcuszków szczęścia. Większość z tych wiadomości zawiera informacje o fikcyjnych loteriach lub prezentach reklamowych (wielokrotnie opisywaliśmy tego rodzaju oszustwa). W zeszłym kwartale cyberprzestępcy ponownie uciekali się do prezentów reklamowych w postaci biletów lotniczych. W badanym kwartale żerowali, między innymi, na nazwach popularnych sieci detalicznych, takich jak Pyaterochka czy Leroy Merlin, jak również McDonald’s. Niektóre fałszywe wiadomości są rzekomo wysyłane przez popularne marki odzieży sportowej, jak również określone sklepy i tanie restauracje.     

8_auto.jpg

Użytkownicy udostępniający wiadomości o loteriach biletów swoim znajomym jako jeden z warunków wygranej

 

Po przesłaniu wiadomości do kilku znajomych użytkownik zostaje przekierowany do innego zasobu, którego zawartość zmienia się w zależności od lokalizacji oraz urządzenia ofiary. Jeżeli użytkownik odwiedza stronę ze swojego smartfona, najczęściej jest automatycznie rejestrowany w płatnych serwisach. Może zostać również przekierowany na stronę zawierającą ankietę lub loterię lub na inną szkodliwą stronę. Na przykład, użytkownik może być zachęcany do zainstalowania rozszerzenia przeglądarki, które będzie następnie przechwytywać dane, które wprowadza na stronie, oraz wykorzystywać jego nazwę do wykonywania innych czynności online, takich jak publikowanie postów na portalach społecznościowych.   

9_auto.png

Przykład strony, na którą zostaje przekierowany użytkownik po wypełnieniu ankiety, na końcu której zostaje mu obiecany kupon do wykorzystania w popularnej sieci detalicznej. Jak widać, użytkownik nie otrzymał żadnego kuponu, jest natomiast zachęcany do zainstalowania rozszerzenia dla przeglądarki z podejrzanymi zezwoleniami.   

 

Twitter i Instagram

Cyberprzestępcy od dawna wykorzystują Twitter do rozprzestrzeniania oszukańczych treści. Ostatnio jednak zaczęli aktywnie zakładać na tym portalu fałszywe konta celebrytów i firm.  

10_auto.png

Fałszywe konto Pavla Durova

Najpopularniejszą przykrywką wykorzystywaną przez cyberprzestępców są prezenty w postaci kryptowaluty, które są rozdawane w imieniu celebrytów. Użytkownik jest proszony o przelanie niewielkiej ilości kryptowaluty do określonego portfela w celu otrzymania jej dwukrotności lub trzykrotności. W celu wzbudzenia zaufania portfel może być zlokalizowany na oddzielnej stronie internetowej, która zawiera również listę fałszywych transakcji, które na oczach ofiary „aktualizują się” w czasie rzeczywistym, potwierdzając, że każda osoba, która przeleje pieniądze do fałszywego portfela, otrzyma wielokrotność przelanej kwoty. Naturalnie, ofiara nie dostanie nic. Metoda ta, mimo swej prostoty, pozwala cyberprzestępcom zarobić miliony dolarów. W badanym kwartale cyberprzestępcy wykorzystywali do swoich oszustw takie nazwiska jak Elon Musk, Pavel Durov czy Vitalik Buterin. Osoby te zostały wybrane nieprzypadkowo - Elon Musk jest przedsiębiorcą, wynalazcą oraz inwestorem, natomiast Durov i Buterin trafili na listę liderów na rynku kryptowaluty opublikowaną przez Fortune.  

11_auto.png

Przykład strony internetowej reklamowanej na fałszywym koncie Elona Muska

Sensacyjne doniesienia sprawiają, że oszustwa te są jeszcze skuteczniejsze. Na przykład, zamknięcie komunikatora Telegram wywołało falę fałszywych wiadomości pochodzących rzekomo od „Pavla Durova” i obiecujących rekompensatę. W tym przypadku, cyberprzestępcy wykorzystują podobnie brzmiące nazwy kont. Na przykład, jeżeli oryginalna nazwa konta zawiera podkreślnik, cyberprzestępcy rejestrują nowego użytkownika z dwoma podkreślnikami w nazwie i publikują wiadomości o prezentach w postaci kryptowaluty w komentarzach do autentycznych postów celebrytów na Twitterze. W efekcie, nawet bardzo spostrzegawcza osoba może mieć problemy z rozpoznaniem fałszywki.      

12_auto.png

Administracja Twittera już dawno temu obiecała powstrzymać tego typu oszustwa. Jednym z pierwszych kroków, jakie podjęła, było zablokowanie kont, które próbowały zmienić nazwę użytkownika na Elon Musk jak również na inne nazwy powszechnie wykorzystywane przez cyberprzestępców. Jednak obejście blokady konta nie jest trudne – wystarczy wpisać Captcha oraz kod wysyłany za pośrednictwem tekstu. W ten sposób użytkownik może zachować nazwę Elon lub zmienić ją na dowolną – konto nie zostanie ponownie zablokowane. Nie wiadomo również, czy Twitter zablokuje zaciemnione nazwiska sławnych ludzi, które cyberprzestępcy często wykorzystują do swoich celów.         

Innym działaniem podjętym przez Twittera jest blokowanie kont, na których zamieszczane są odsyłacze do konta Elona Muska. Podobnie jak we wcześniejszym przykładzie, konto można odblokować poprzez wprowadzenie Captcha i potwierdzenie numeru telefonu za pośrednictwem kodu otrzymanego w wiadomości tekstowej.   

Ten rodzaj oszustw zaczął się rozprzestrzeniać również do innych platform. Fałszywe konta można znaleźć także na Instagramie.

13_auto.jpg

Facebook

Na Facebooku, oprócz wspomnianej wcześniej dystrybucji treści za pośrednictwem wątków wirusowych, cyberprzestępcy często wykorzystują mechanizmy reklamy, które są oferowane przez sam portal. Odnotowaliśmy przypadki oszustw rozprzestrzenianych za pośrednictwem reklam na Facebooku, w których potencjalnym ofiarom oferuje się możliwość szybkiego wzbogacenia się. 

14_auto.png

Oszukańcza reklama strony na Facebooku

Po kliknięciu reklamy użytkownik jest przekierowywany na stronę, gdzie, po wykonaniu kilku kroków, może uzyskać nagrodę. W celu otrzymania tej nagrody musi zapłacić odpowiednią kwotę, podać dane dot. swojej karty kredytowej lub udostępnić pewne dane osobowe. Naturalnie, nie czeka na niego żadna nagroda.  

Wyniki wyszukiwania

Reklamy zawierające szkodliwe treści oraz odsyłacze do stron phishingowych można znaleźć nie tylko na portalach społecznościowych, ale również na stronach z wynikami wyszukiwania przy użyciu najpopularniejszych wyszukiwarek. Ostatnio stało się to popularną metodą reklamowania fałszywych projektów ICO.

15_auto.png

Użytkownicy nie zawsze zauważają komunikat „Ad” umieszczony obok reklam

Sztuczki spamerów

W poprzednim kwartale spamerzy próbowali stosować następujące nowe sztuczki w celu obejścia filtrów.

Podwójne nagłówki w wiadomościach e-mail

Podczas generowania wiadomości spamowych spamerzy wykorzystują dwa pola Od w nagłówku wiadomości e-mail. Pierwsze pole Od zawierało legalny adres, należący zwykle do znanej organizacji (której reputacja nie została zszargana na skutek skandali spamowych), podczas gdy drugi zawierał rzeczywisty adres e-mail spamera, który nie miał nic wspólnego z pierwszym. Spamerzy spodziewali się, że filtry uznają e-mail za legalny, zapominając, że współczesne rozwiązania antyspamowe biorą pod uwagę nie tylko techniczny aspekt e-maila, ale również jego zawartość.     

Formularze subskrypcyjne

W takich przypadkach, wiadomości spamowe w postaci automatycznych potwierdzeń subskrypcji listy mailingowej trafiają do skrzynki odbiorczej użytkownika. W celu stworzenia takich wiadomości najczęściej wykorzystywane były zwykłe strony internetowe umożliwiające nieograniczoną rejestrację użytkowników (szczególnie gdy umożliwiały wielokrotne wykorzystywanie tego samego adresu e-mail). Spamerzy wykorzystywali skrypt, który automatycznie wypełniał formularze subskrypcji, wpisując adresy odbiorców pobrane ze zgromadzonych wcześniej (lub zakupionych) baz danych. Zawartość spamową stanowiła krótka fraza zawierająca odsyłacz do zasobu spamowego umieszczony w jednym z obowiązkowych pól w formularzu (w szczególności nazwa odbiorcy). W efekcie użytkownik otrzymywał powiadomienie wysłane z legalnego adresu mailowego, które zamiast jego nazwy zawierało odsyłacz spamowy.    

16.png

Przykład wiadomości spamowej wysyłanej przy użyciu usługi subskrypcji na legalnej stronie

Dane statystyczne: spam

Odsetek spamu w ruchu e-mail

17_auto.png

Odsetek spamu w globalnym ruchu e-mail, I i II kwartał 2018 r.

W II kwartale 2018 r. największy odsetek niechcianych wiadomości został odnotowany w maju i wynosił 50,65%. Średni odsetek spamu w globalnym ruchu pocztowym wynosi 49,66% - o 2,16 punktu procentowego mniej niż w poprzednim okresie.

Źródła spamu według państwa

18_auto.png

Państwa, z których pochodził spam, II kwartał 2018 r.

Największym spamerem w I kwartale 2018 r. był Wietnam (3,98%), który w badanym okresie spadł na siódmą pozycję, a jego miejsce zajęły Chiny (14,36%). Państwa znajdujące się na drugim i trzecim miejscu, czyli Stany Zjednoczone i Niemcy, dzieli tylko jeden punkt procentowy i odpowiadały odpowiednio za 12,11% i 11,12% rozprzestrzenianego spamu. Na czwartym miejscu znalazła się Francja (4,42%), natomiast na piątym Rosja (4,34%). Ostatnią pozycję (2,43%) zajęła Wielka Brytania.       

Rozmiar wiadomości spamowych
19_auto.png

Rozmiar wiadomości spamowych, I i II kwartał 2018 r.

W badanym kwartale udział bardzo małych wiadomości spamowych (do 2 KB) zmniejszył się o 2,45 punktu procentowego do 79,17%. Z kolei odsetek wiadomości spamowych o rozmiarze 5-10 KB odnotował wzrost (o 1,45 punktu procentowego) w porównaniu z poprzednim kwartałem i wynosił 5,56%.

Odsetek wiadomości spamowych o rozmiarze 10-20 KB pozostał praktycznie niezmieniony – zmniejszył się o 0,93 punktu procentowego do 3,68%. Podobny trend zaobserwowano w wiadomościach spamowych o rozmiarze 20-50 KB – ich udział zmniejszył się o 0,4 punktu procentowego (do 2,68%) w porównaniu z poprzednim kwartałem.

Szkodliwe załączniki: rodziny szkodliwego oprogramowania

20_auto.png

10 najpopularniejszych rodzin szkodliwego oprogramowania, II kwartał 2018 r.

W II kwartale 2018 r. Exploit.Win32.CVE-2017-11882 (z udziałem 10,35%) stanowił rodzinę szkodliwego oprogramowania, która była najszerzej rozprzestrzeniana za pośrednictwem poczty e-mail. Werdykt ten obejmuje różne rodzaje szkodliwego oprogramowania, które wykorzystywały lukę CVE-2017-11882 w Microsoft Word. W badanym kwartale zmniejszył się odsetek wiadomości e-mail zawierających szkodliwe oprogramowanie z rodziny Trojan-PSW.Win32.Fareit, które kradnie informacje użytkownika oraz hasła. Szkodnik ten stracił pierwsze miejsce i obecnie zajmuje drugą pozycję (z udziałem 5,90%). Trzecie i czwarte miejsce zajęły odpowiednio szkodniki Backdoor.Win32.Androm (5,71%) oraz Backdoor.Java.QRat (3,80%). Rodzina Worm.Win32.WBVB była piątym pod względem popularności szkodliwym oprogramowaniem wśród cyberprzestępców.     

Państwa stanowiące cel szkodliwych wysyłek reklamowych

21_auto.png

Rozkład uruchomień modułu ochrony antywirusowej poczty według państwa, II kwartał 2018 r. 

Pierwsze, drugie i trzecie miejsca wśród państw o największej liczbie uruchomień modułu ochrony antywirusowej poczty pozostały niezmienione w badanym kwartale. Na pierwszym miejscu utrzymały się Niemcy (9,54%), natomiast drugą i trzecią pozycję zajęły Rosja i Wielka Brytania (z udziałem odpowiednio 8,78% i 8,67%). Z kolei na czwartym i piątym miejscu uplasowały się odpowiednio Brazylia (7,07%) i Włochy (5,39%). 

Dane statystyczne: phishing

W II kwartale 2018 r. moduł antyphishingowy udaremnił 107 785 069 prób połączenia się użytkowników ze szkodliwymi stronami internetowymi. Cel ataku phishingowego stanowiło 9,6% wszystkich użytkowników produktów firmy Kaspersky Lab na całym świecie.

Rozkład geograficzny ataków

Państwem o największym odsetku użytkowników, którzy stanowili cel ataków phishingowych w II kwartale 2018 r., pozostała Brazylia, której udział w rozprzestrzenianym spamie wynosił 15,51% (-3,56 punktu procentowego).   

22.png

Rozkład geograficzny ataków phishingowych, II kwartał 2018 r.

Państwo

%*

Brazylia

15,51

Chiny

14,77

Gruzja

14,44

Kirgistan

13,60

Rosja

13,27

Wenezuela

13,26

Makao

12,84

Portugalia

12,59

Białoruś

12,29

Korea Południowa

11,66

* Odsetek użytkowników, których system antyphishingowy został aktywowany, w stosunku do wszystkich użytkowników produktów firmy  Kaspersky Lab w danym państwie.

Atakowane organizacje

Ranking ataków phishingowych na różne kategorie organizacji opiera się na liczbie wykryć przy użyciu heurystycznego komponentu antyphishingowego firmy Kaspersky Lab. Jest on aktywowany za każdym razem, gdy użytkownik próbuje otworzyć stronę phishingową, klikając odsyłacz zawarty w wiadomości e-mail lub w wiadomości wysyłanej za pośrednictwem portalu społecznościowego lub na skutek aktywności szkodliwego oprogramowania. W momencie aktywowania komponentu w przeglądarce wyświetlany jest baner ostrzegający użytkownika przed potencjalnym zagrożeniem.    

W II kwartale 2018 r. na pierwszym miejscu ponownie znalazła się kategoria Globalne portale internetowe z udziałem 25,00% (+1,3 punktu procentowego).

 

23_auto.png

Rozkład organizacji stanowiących cel ataków phishingowych według kategorii, II kwartał 2018 r.

Odsetek ataków na organizacje, które można zbiorczo zaliczyć do ogólnej kategorii Finanse (banki z udziałem 21,10%, sklepy internetowe z udziałem 8,17% oraz systemy płatności z udziałem 6,43%), zmniejszył się do 35,70% (-8,22 punktu procentowego). W drugim kwartale firmy IT były atakowane częściej niż w pierwszym kwartale. Kategoria ta odnotowała wzrost o 12,28 punktu procentowego do 13,83%.    

Zakończenie

Średni odsetek spamu w globalnym ruchu pocztowym, który wynosił 49,66%, zmniejszył się o 2,16 punktu procentowego w stosunku do zeszłego kwartału, a system antyphishingowy udaremnił ponad 107 milionów prób połączenia użytkowników ze stronami phishingowymi, co stanowi wzrost o 17 milionów w stosunku do pierwszego kwartału 2018 r.        

W badanym kwartale cyberprzestępcy aktywnie wykorzystywali temat RODO, Mistrzostw Świata w piłce nożnej oraz kryptowaluty, a odsyłacze do szkodliwych stron internetowych były wykrywane na portalach społecznościowych oraz w komunikatorach (użytkownicy często rozprzestrzeniali je sami) jak również w wiadomościach marketingowych obsługiwanych przez duże wyszukiwarki.

Exploit.Win32.CVE-2017-11882 stanowił rodzinę szkodliwego oprogramowania, która była najszerzej rozprzestrzeniana za pośrednictwem poczty e-mail, a jej udział wynosił 10,35%. Trojan-PSW.Win32.Fareit spadł z pierwszego miejsca na drugie (5,90%), z kolei trzecie i czwarte miejsca zajęły odpowiednio Backdoor.Win32.Androm (5,71%) oraz Backdoor.Java.QRat (3,80%).