Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w 2018 r.

Tagi:

Liczby roku

  • Udział spamu w ruchu pocztowym wynosił 52,48% - o 4,15 punktu procentowego mniej niż w 2017 r.
  • Największym źródłem spamu w badanym roku były Chiny (11,69%).
  • 74,15% wiadomości spamowych miało rozmiar mniejszy niż 2 KB.
  • Szkodliwy spam był najczęściej wykrywany przy użyciu werdyktu Win32.CVE-2017-11882
  • System antyphishingowy został uruchomiony 482 465 211 razy. 
  • 18,32% unikatowych użytkowników zetknęło się z phishingiem.

Globalne wydarzenia a spam

GDPR

W ciągu pierwszych miesięcy badanego roku zarejestrowaliśmy bardzo dużo wiadomości e-mail w ruchu spamowym, które w ten czy inny sposób nawiązywały do Ogólnego rozporządzenia o ochronie danych osobowych (RODO). Był to zasadniczo spam B2B – w większości zaproszenia na płatne seminaria, seminaria internetowe (webinar) oraz warsztaty, na których można zapoznać się z nowymi przepisami i dowiedzieć się, jakie mogą mieć implikacje dla biznesu.  

Okres ten charakteryzował się również wzrostem liczby legalnych wysyłek. Zgodnie z wymogami rozporządzenia, firmy wysyłały powiadomienia dotyczące stosowania polityki opartej na przepisach RODO, prosząc użytkownika o zgodę na przechowywanie i przetwarzanie jego danych osobowych. Naturalnie, wykorzystali to oszuści. Chcąc uzyskać dostęp do danych osobowych klientów znanych firm, wysyłali wiadomości phishingowe związane z RODO, w których prosili o uaktualnienie informacji dotyczących konta. Jeśli użytkownicy kliknęli odsyłacz w wiadomości i podali wymagane dane, zostały one natychmiast przechwycone przez oszustów. Warto zauważyć, że cyberprzestępcy byli głównie zainteresowani danymi klientów organizacji finansowych oraz firm świadczących usługi IT.      

190311-spam-report-2018-1_auto.png

Wiadomości phishingowe wykorzystujące temat RODO

 

Mistrzostwa Świata FIFA w Piłce Nożnej 2018

Mistrzostwa Świata FIFA w Piłce Nożnej stanowiły jedno z głównych wydarzeń medialnych badanego roku, daleko wykraczając poza świat sportu. Oszuści wykorzystali ten temat, stosując szereg klasycznych metod opartych na socjotechnice. Tworzyli fałszywe strony internetowe partnerów FIFA w celu uzyskania dostępu do kont bankowych ofiar, przeprowadzali ataki ukierunkowane oraz zakładali fałszywe strony logowania dla kont w serwisie fifa.com. 

190311-spam-report-2018-2_auto.png 

Przykłady wiadomości oferujących bilet na Mistrzostwa Świata oraz prezenty w postaci wyjazdów

 

Nowe wydanie iPhone’a

Tradycyjnie premiera najnowszego urządzenia firmy Apple spowodowała wzrost ilości wysyłanego spamu. Wiadomości pochodziły rzekomo od chińskich firm oferujących akcesoria i podróbki. W rzeczywistości przekierowywały odbiorcę do nowo utworzonych, generycznych sklepów online, które ochoczo przyjmowały płatności, ale nie śpieszyły się już z wysyłką towaru.

Premiera ta zbiegła się w czasie z niewielkim wzrostem liczby wiadomości phishingowych wykorzystujących markę Apple (i jej serwisy) oraz wiadomości e-mail zawierających szkodliwe załączniki:

190311-spam-report-2018-3_auto.png

Szkodliwe oprogramowanie a sektor korporacyjny

W 2018 r. liczba szkodliwych wiadomości w spamie była o 1,2 raza mniejsza niż w 2017 r.; moduł Ochrona poczty został uruchomiony łącznie 120 310 656 razy na urządzeniach klientów Kaspersky Lab.

4_auto.png

Liczba aktywacji modułu Ochrona poczty na urządzeniach klientów firmy Kaspersky Lab w 2018 r.

W 2018 r. oszuści nadal zwracali uwagę na szczegóły w tworzonych przez siebie wiadomościach e-mail. Imitowali rzeczywistą korespondencję biznesową, wykorzystując prawdziwe dane firm, łącznie z sygnaturką i logo. W celu obejścia rozwiązań zabezpieczających (i przekonania użytkowników, że zawarte w wiadomościach pliki są bezpieczne) stosowano załączniki ISO, IQY, PIF oraz PUB – z których żaden nie jest typowym formatem wykorzystywanym w spamie.     

Jednym z najpopularniejszych celów pozostają organizacje kredytowe – trend, który prawdopodobnie utrzyma się w 2019 r. Spodziewamy się również wzrostu liczby ataków na sektor korporacyjny jako całość.

5_auto.png

Nowe kanały dystrybucji

Już wcześniej wspominaliśmy, że rozprzestrzenianie wiadomości phishingowych oraz innych oszukańczych treści nie ogranicza się jedynie do wysyłek e-mail. Oszuści nie tylko testują nowe sposoby dostarczania takich wiadomości, ale również skłaniają do rozprzestrzeniania szkodliwej zawartości same ofiary. Niektóre z największych w tym roku ataków zostały przeprowadzone za pośrednictwem komunikatorów oraz mediów społecznościowych.  

„Samo-rozprzestrzeniające się” wiadomości phishingowe przypominają dawno już zapomniane łańcuszki. Nawiązują do nieistniejących prezentów reklamowych lub darmowych, lukratywnych ofert, przy czym jednym z warunków ich otrzymania jest przesłanie wiadomości znajomym lub opublikowanie jej w mediach społecznościowych. Na początku roku oszuści wykorzystywali jako przynętę loterie darmowych biletów lotniczych, następnie przerzucili się na wysyłki pochodzące rzekomo z popularnych sieci detalicznych, restauracji, sklepów oraz kawiarni. WhatsApp stanowił najpopularniejsze narzędzie rozpowszechniania takich wiadomości.        

Kryptowaluty a spam

W 2018 r. zainteresowanie kryptowalutami wśród spamerów nie tylko nie zmalało, ale wręcz wzrosło. Wśród wiadomości spamowych znalazły się te oszukańcze, próbujące skłonić potencjalne ofiary do przelania pieniędzy do portfeli kryptowaluty. 

Jednym z najpopularniejszych rodzajów oszustw w zeszłym roku było tzw. „sextortion”. W tego rodzaju szantażu sprawcy twierdzą, że znajdują się w posiadaniu prywatnych informacji o charakterze intymnym. Jeśli ofiara nie chce, aby zostały one upublicznione, musi przelać pieniądze do wskazanego w wiadomości portfela kryptowaluty, który często wygląda bardzo przekonująco i wykorzystuje rzeczywiste dane osobowe ofiary: nazwisko, numer paszportu, numer telefonu itd. Wobec niekończących się doniesień medialnych dotyczących wycieków prywatnych danych, takie zagrożenia, wsparte prawdziwymi danymi osobowymi, powodują, że ofiary wpadają w panikę i ulegają żądaniom cyberprzestępców. W zeszłym roku kwota okupu wahała się w granicach od kilkuset do kilku tysięcy dolarów.      

Na początku wysyłki kierowane były do odbiorców angielskojęzycznych, jednak pod koniec III kwartału odnotowaliśmy falę wiadomości w innych językach: niemieckim, włoskim, arabskim, japońskim francuskim, greckim i innych.  

6_auto.png

Oszuści nie zapomnieli również o innych metodach oszustw. W ciągu roku zidentyfikowaliśmy oszukańcze wysyłki pochodzące rzekomo od dużych organizacji charytatywnych, w których proszono o wsparcie dzieci poprzez zakup pewnych danych itd. Wszystkie te oszusta łączyło to, że pieniądze miały zostać przelane w kryptowalucie. Należy zauważyć, że takich wiadomości było bardzo niewiele w stosunku do tych opisanych wcześniej.       

7_auto.png 

W 2019 r. spamerzy nadal będą wykorzystywać temat kryptowaluty. Spodziewamy się wzrostu liczby oszukańczych wysyłek stworzonych zarówno w celu kopania kryptowaluty, jak i uzyskania dostępu do  prywatnych kont w wielu serwisach związanych z kryptowalutą.  

 

Phishing

Kryptowaluta

Kryptowaluta pozostaje jednym z najpopularniejszych tematów phishingu. W 2018 r. nasz system zapobiegania phishingowi udaremnił 410 786 prób przekierowania użytkowników na strony phishingowe podszywające się pod popularne portfele, giełdy oraz platformy kryptowaluty. Oszuści aktywnie tworzą fałszywe strony logowania do serwisów związanych z kryptowalutą w nadziei na zdobycie danych uwierzytelniających użytkowników.

8_auto.png

Innym gorącym tematem w zeszłym roku były fałszywe pierwsze publiczne oferty tokena (ang. ICO). Oszuści zachęcali swoje potencjalne ofiary do inwestowania w różne inicjatywy ICO nie tylko za pośrednictwem poczty e-mail, ale również poprzez posty w mediach społecznościowych. Każdy mógł znaleźć coś dla siebie: np. celem jednego z oszustw był buzcoin, kryptowaluta nazwana od nazwiska rosyjskiej piosenkarki Olgi Buzowej. Oszustom udało się przechwycić listę mailingową projektu i wysyłać fałszywe zaproszenia w przedsprzedaży do subskrybentów dzień przed ruszeniem inicjatywy IOC. Zanim prawdziwe organizacje zdążyły się zorientować, osoby atakujące zgarnęły około 15 000 dolarów.      

Jednak wątpliwy rekord wygenerowania największej ilości oszustw należał na początku 2018 r. do opartego na blockchainie projektu Pawła Durowa, TON. Boom na kryptowalutę oraz pogłoski, jakie pojawiły się pod koniec 2017 roku na temat ICO zainicjowanego przez twórcę komunikatora Telegram, bardzo pomogły cyberprzestępcom. Wiele osób uwierzyło oszustom i mimo ostrzeżeń Pawła opublikowanych w mediach społecznościowych, przelało im pieniądze.     

9_auto.png 

Loterie i ankiety

Innym sposobem na skłonienie potencjalnych ofiar do przelania pieniędzy jest obietnica gwarantowanej wygranej na loterii lub nagrody za udział w ankiecie. W 2018 r. nasze rozwiązania zabezpieczające zablokowały 3 200 180 prób przekierowania na oszukańcze strony internetowe oferujące loterie i ankiety. 

Aby wziąć udział w losowaniu, użytkownicy musieli wnieść jakiś wkład: a im więcej dasz, tym więcej (rzekomo) otrzymasz. W podobny sposób działają oszustwa oparte na ankiecie. Ofiara zostaje poproszona o przelanie pewnej kwoty w celu pokrycia „kosztów administracyjnych”, aby móc otrzymać nagrodę - tak przynajmniej twierdzą oszuści.   

10_auto.png

Uniwersytety

Phisherzy polują nie tylko na pieniądze, ale również na wiedzę: w ostatnim roku odnotowaliśmy ataki phishingowe na 131 uniwersytetów w 16 państwach. Ponad połowa (83) z nich znajdowała się w Stanach Zjednoczonych, następnie w Wielkiej Brytanii (21) oraz Australii i Kanadzie (po 7). Jednym z szeroko nagłośnionych incydentów była kradzież milionów dokumentów (w tym dotyczących badań nad energią nuklearną) z kilku brytyjskich uniwersytetów.     

11_auto.png 

Podatki

W I kwartale (ostatnim kwartale roku finansowego w wielu krajach) zaobserwowaliśmy ogromną liczbę stron phishingowych podszywających się pod strony HMRC (UK), IRS (US) oraz władz podatkowych w innych krajach. Cyberprzestępcy próbowali wyłudzić dane osobowe, odpowiedzi na pytanie zabezpieczające, informacje dotyczące kont bankowych oraz inne dane użytkowników. Niektóre fałszywe strony organów podatkowych rozprzestrzeniały szkodliwe oprogramowanie.     

12_auto.png 

Fałszywe strony internetowe organów podatkowych

HTTPS

Jak pisaliśmy już rok wcześniej, wzrosła liczba stron phishingowych w domenach z certyfikatem SSL. Jak na ironię, przyczyniło się do tego powszechne wykorzystywanie protokołu HTTPS, jako że strony z certyfikatem (oraz kłódką) wzbudzają znacznie większe zaufanie. Jednak zdobycie certyfikatu nie jest szczególnie trudne, zwłaszcza dla kompetentnych cyberprzestępców. Problem ten przybrał tak ogromne rozmiary, że od września 2018 r., wraz z najnowszą wersją Chrome’a, przeglądarka ta przestała wyróżniać strony HTTPS zieloną kłódką w pasku adresu i oznaczać je jako „Bezpieczne”. Zamiast tego, stronom bez HTTPS przydzielana jest etykietka „Niezabezpieczona”.        

Wyprzedaże

Co roku w listopadzie zaczyna się sezon wyprzedaży. Pierwszy w kalendarzu jest Światowy dzień zakupów, następny - Black Friday. Cyberprzestępcy przygotowują się do tych okazji z dużym wyprzedzeniem i rozpoczynają swoje masowe ataki na długo, zanim ruszą wyprzedaże. Z naszych statystyk wynika, że liczba prób przekierowania użytkowników na fałszywe strony wykorzystujące temat wyprzedaży zaczyna wzrastać już pod koniec października.   

bz3MCdw7BSyOrLAL75hnsrc=embed_auto.png

Oszuści stosują standardowe metody wyłudzania danych osobowych oraz pieniędzy od swoich ofiar, w tym za pomocą fałszywych stron internetowych podszywających się pod popularne sklepy internetowe oferujących atrakcyjne zniżki i drogie produkty.

14_auto.png

 

Statystyki: spam

Odsetek spamu w ruchu e-mail

Udział spamu w ruchu e-mail w 2018 r. zmniejszył się o 4,15 punktu procentowego do 52,48%. 

15_auto.png

Odsetek spamu w globalnym ruchu e-mail, 2018 r.

Najniższy udział (47,70%) został odnotowany w kwietniu 2018 r. Najwyższy (57,26%) w grudniu.  

Państwa stanowiące największe źródła spamu

W 2018 r. Chiny (11,69%) prowadziły na liście państw wysyłających najwięcej spamu, zamieniwszy się miejscami ze Stanami Zjednoczonymi, które spadły na drugą pozycję (9,04%). Trzecie miejsce zajęły Niemcy (7,17%), które awansowały do pierwszej trójki z szóstego miejsca. 

Wietnam, który w zeszłym roku znajdował się na trzeciej pozycji, spadł na czwarte miejsce (6,09%). Za nim uplasowała się Brazylia (4,87%), Indie (4,77%) oraz Rosja (4,29%).   

Na ósmym miejscu, podobnie jak w 2017 r., znajdowała się Francja (3,34%), podczas gdy Iran i Włochy wypadły z pierwszej dziesiątki. Zamiast nich do rankingu weszła Hiszpania, która awansowała z 16 miejsca na 9 (2,20%, +0,72 punktu procentowego) oraz Wielka Brytania (2,18%, +0,59 punktu procentowego). 

16_auto.png 

Źródła spamu według państwa, 2018 r.

 

Rozmiar wiadomości spamowych

W 2018 r. znacznie wzrósł udział bardzo małych wiadomości (do 2 KB). Mimo kwartalnego spadku ich roczny udział wynosił 74,15%, co stanowi wzrost o 30,75 w stosunku do wcześniej badanego okresu. Zwiększył się również odsetek wiadomości o rozmiarze 2–5 KB (10,64%, +5,56 punktu procentowego).  

17_auto.png

Wiadomości spamowe według rozmiaru, 2018 r.

Ilość „dużych wiadomości spamowych” zmniejszyła się znacząco w stosunku do 2017 r. Udział wiadomości o rozmiarze 5–10 KB (7,37%) spadł o 1,77 punktu procentowego, natomiast tych o rozmiarze 10–20 KB (3,66%) - o 12,6 punktu procentowego. Największy spadek – o 18,41 punktu procentowego  –  odnotował udział niechcianych wiadomości, których rozmiar wynosił 20–50 KB (2,82%).         

 

Szkodliwe załączniki w poczcie e-mail

Rodziny szkodliwego oprogramowania

18_auto.png 

10 najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania w 2018 r.

W 2018 r. najszerzej rozpowszechnione szkodliwe obiekty w poczcie e-mail, którym przydzielono werdykt Exploit.Win32.CVE-2017-11882, wykorzystywały lukę w zabezpieczeniach pakietu Microsoft Office w celu wykonania losowego kodu bez wiedzy użytkownika.  

Na drugim miejscu znalazł się bot Backdoor.Win32.Androm, którego funkcjonalność zależy od dodatkowych modułów pobieranych na polecenie serwerów kontroli. Był on najczęściej wykorzystywany do pobierania szkodliwego oprogramowania.    

Rodzina Trojan-PSW.Win32.Fareit awansowała z piątego miejsca na trzecie. Jego głównym zadaniem jest kradzież danych (pliki cookie, hasła do protokołu FTP, poczty e-mail oraz innych serwisów). Przechwytywane informacje są wysyłane na serwer cyberprzestępców. Niektórzy członkowie rodziny potrafią pobierać i uruchamiać inne szkodliwe oprogramowanie.   

Na czwartym miejscu utrzymuje się rodzina Worm.Win32.WBVB, do której należą pliki wykonywalne, które są napisane w języku Visual Basic 6 (zarówno w trybie P-code jak i macierzystym).

Na piątej pozycji uplasowała się rodzina Backdoor.Java.Qrat – wieloplatformowy backdoor wielofunkcyjny napisany w Javie i sprzedawany w darknecie jako pakiet Malware-as-a-Service (MaaS). Szkodnik ten jest na ogół rozprzestrzeniany za pośrednictwem załączników JAR do wiadomości e-mail. 

Szósta lokata przypadła rodzinie Trojan-Downloader.MSOffice.SLoad. Jest to dokument DOC/DOCX zawierający skrypt, który może być wykonywany w MS Wordzie. Jest on ogólnie wykorzystywany do pobierania i instalowania oprogramowania ransomware na komputerach.      

Siódme miejsce zajął Trojan-Spy.Win32.Noon.

Szkodnik Trojan.PDF.Badur, który składa się z dokumentu PDF zawierającego odsyłacz do potencjalnie niebezpiecznej strony, spadł o jedno miejsce niżej – na ósmą pozycję.     

Na dziewiątym miejscu znalazła się rodzina szkodliwych obiektów o nazwie Trojan.BAT.Obfus – zaciemnione pliki BAR służące do uruchamiania szkodliwego oprogramowania oraz zmiany ustawień bezpieczeństwa OS.  

Na dziesiątej pozycji, podobnie jak w poprzednim roku, znalazła się rodzina downloaderów Trojan.Win32.VBKrypt.

Państwa stanowiące cel szkodliwych wysyłek reklamowych

Podobnie jak w poprzednich latach, w 2018 r. pierwsze miejsce zajęły Niemcy. Państwo to stanowiło cel 11,51% wszystkich ataków. Na drugim miejscu znalazła się Rosja (7,21%), na trzecim natomiast Wielka Brytania (5,76%).

19_auto.png

Państwa stanowiące cel szkodliwych wysyłek reklamowych, 2018 r.

Na kolejnych miejscach znalazły się Włochy (5,23%), Brazylia (5,10%) oraz Wietnam (5,09%), między którymi różnica była niewielka. Tylko 1,35 punktu procentowego dzieliło Wietnam od znajdujących się na siódmej pozycji Zjednoczonych Emiratów Arabskich (3,74%). Pierwszą dziesiątkę zamknęły Indie (3,15%), Hiszpania (2,51%) oraz Tajwan (2,44%)       

Dane statystyczne: phishing

W 2018 r. system antyphishingowy został 482 465 211 razy uruchomiony na komputerach użytkowników produktów firmy Kaspersky Lab w wyniku prób przekierowania ich na strony phishingowe (o 236 233 566 więcej niż w 2017 r.). Łącznie zaatakowanych zostało 18,32% naszych użytkowników. 

Atakowane organizacje

Ranking organizacji stanowiących cel ataków phishingowych opiera się na uruchomieniu komponentu heurystycznego wchodzącego w skład systemu antyphishingowego na komputerach użytkowników. Komponent ten wykrywa wszystkie przypadki, gdy użytkownik próbuje kliknąć odsyłacz w wiadomości e-mail lub w internecie, który prowadzi do strony phishingowej, w sytuacji, gdy taki odsyłacz nie został jeszcze dodany do baz danych firmy Kaspersky Lab. 

Ranking kategorii organizacji zaatakowanych przez phisherów

W 2018 r. globalne portale internetowe odpowiadały za lwią część uruchomień komponentu heurystycznego. Ich udział zwiększył się o 11,23 punktu procentowego w stosunku do zeszłego roku, wynosząc 24,72%. Na drugim miejscu znalazł się sektor bankowy (21,70%), którego udział zmniejszył się o 5,3 punktu procentowego. Na trzeciej pozycji uplasowały się systemy płatnicze (14,02%).    

20_auto.png

 

Rozkład organizacji będących celem ataków phishingowych według kategorii, 2018 r.

3 najczęściej atakowane organizacje przez phisherów

Ranking składa się z organizacji, których nazwy były najczęściej wykorzystywane przez phisherów (według statystyk heurystycznych dotyczących uruchomienia systemu antyphishingowego na komputerach użytkowników). W 2017 r. w pierwszej trójce znajdowały się te same firmy, ale w nieco innej kolejności, z Microsoftem na pierwszym miejscu.

Microsoft

6,86%

Facebook             

6,37%

PayPal                   

3,23%

 

Rozkład geograficzny ataków

Państwa według udziału zaatakowanych użytkowników

Brazylia (28,28%) plasuje się na pierwszym miejscu według odsetka zaatakowanych unikatowych użytkowników spośród łącznej liczby użytkowników w danym państwie.

21_auto.png

Odsetek użytkowników, na których komputerach został uruchomiony system antyphishingowy, w stosunku do wszystkich użytkowników produktów firmy Kaspersky Lab w danym kraju, 2018 r.

10 państw według udziału zaatakowanych użytkowników

 

Państwo

%

Brazylia

28,28

Portugalia

22,63

Australia

20,72

Algieria

20,46

Réunion

20,39

Gwatemala

20,34

Chile

20,09

Hiszpania

20,05

Wenezuela

19,89

Rosja

19,76


10 państw o największym udziale zaatakowanych użytkowników

Mimo niewielkiego spadku wynoszącego 0,74 punktu procentowego Brazylia (28,28%) utrzymuje się na pierwszym miejscu pod względem liczby zaatakowanych użytkowników. Z kolei Portugalia (22,63%) awansowała na drugie miejsce (+5,87 punktu procentowego), zastępując Australię (20,72% –1,79 punktu procentowego).

Zakończenie

W 2018 r. okazało się, że cyberprzestępcy nadal monitorują globalne wydarzenia i wykorzystują je do osiągania własnych celów. Odnotowywaliśmy stały wzrost liczby ataków phishingowych na zasoby związane z kryptowalutą i spodziewamy się nowych oszustw w 2019 r. Mimo spadku wartości oraz ciężkich czasów dla całego rynku kryptowaluty phisherzy oraz spamerzy będą próbowali „wycisnąć” jak najwięcej z tego tematu.    

Miniony rok sugeruje również, że spamerzy i oszuści nadal będą żerowali na istotnych wydarzeniach – premierach nowych smartfonów, wyprzedażach, terminach płatności podatków/rabatach itp.

Widoczny jest również trend przechodzenia na nowe kanały rozprzestrzeniania zawartości: w 2018 r. cyberprzestępcy stosowali nowe metody komunikacji ze swoimi „odbiorcami”, w tym komunikatory internetowe i portale społecznościowe, wypuszczając falę za falą samo-rozprzestrzeniających się szkodliwych wiadomości. Jednocześnie, jak pokazał atak na uniwersytety, oszuści szukają nie tylko nowych kanałów, ale również nowych celów.