Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009
Статьи

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009

автор: Administrator | 31 октября 2009, 13:11 | Просмотров: 6660
теги: Статьи, Kaspersky, отчет, письма, спам, трафик, спамеры, фишинг, атака, банки, компьютер, США



1.Особенности квартала:
» Доля спама в почтовом трафике в третьем квартале составила 85,7%.
» Доля фишинговых писем выросла на 0,5% и составила 0,99% от всего почтового трафика.
» Доля писем с вредоносными вложениями составила 0,46% от почтового трафика (1,22% в сентябре).
» Доля реального сектора экономики в тематиках спама растет, доля саморекламы спамеров падает.
» Спамеры продолжают использовать html-таблицы и графический спам для обхода фильтров.



2. Долевое распределение спама
Доля спама в почтовом трафике в третьем квартале составила в среднем 85,7%. Летом количество спама было традиционно немного ниже, а в сентябре оно стало заметно расти. Однако это не свидетельствует об общей тенденции к росту доли спама в почтовом трафике, - сентябрьский рост доли спама связан с окончанием сезона отпусков

Доля спама в почтовом трафике в третьем квартале 2009:
Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Самый низкий долевой показатель спама наблюдался 1 августа, он составил 76,3%. Это был единственный день за три месяца, когда уровень спама опустился ниже отметки в 80%. Самый высокий показатель был отмечен 27 сентября и составил 91,3%.



3. Фишинг
Фишинговые письма в третьем квартале 2009 года составили около 1% (0,99%) всех электронных писем. По сравнению со вторым кварталом (0,49%) их доля в почтовом трафике увеличилась вдвое.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Как и раньше, чаще всего фишинговым атакам, подвергались платежная система PayPal и аукцион eBay. Лишь в августе они временно уступили свои лидирующие позиции.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


На диаграмме видно, что в августе доля фишинг-атак на PayPal и eBay сократилась очень существенно. В то же время увеличился процент атак на банки.

Так, доля атак на банк CHASE , обычно не превышающая 2%, увеличилась до 30,6%. В похожем «выигрыше» оказались и другие банки: доля атак на Bank of America в августе составляла 19% (обычно - 3-5%).

Атак на Ally Bank также было значительно больше, чем в другое время: 11,08% вместо обычных 1-2%. На этом примере видно, что, хотя PayPal и eBay и являются излюбленными мишенями фишеров, периодически основными целями злоумышленников становятся банки. Так, банк Chase подвергался аналогичной массированной атаке около года назад.

Среди новинок в области фишинга можно назвать появившиеся в этом квартале сообщения, не содержащие ссылки на поддельные сайты. Вместо них в сообщении указывается телефонный номер, на который якобы нужно позвонить, чтобы получить доступ к своему счету.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Кроме того, в сентябре активно рассылались сообщения, в которых был использован характерный для фишинговых писем прием, - в них сообщалось о том, что аккаунт пользователя в скором времени будет заблокирован. Речь, однако, шла не о банковском счете или почтовом сервере, а об аккаунте пользователя на сайте онлайн-аптеки.

Потеря такого аккаунта якобы лишит пользователя возможности покупать медикаменты без рецепта врача. Чтобы избежать этого пользователю рекомендовалось срочно сделать заказ на сайте.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Разумеется, аккаунтов, о которых шла речь в письмах, у получателей не было, однако расчет спамеров был на то, что пользователей заинтересует возможность покупать медицинские препараты без рецепта.



4. Письма с вредоносными вложениями
В третьем квартале 2009 года одновременно с активизацией фишинговых атак возрос и процент писем, содержащих вредоносные вложения. Их доля составила в среднем 0,46% всех электронных писем, что на 0,29% выше, чем в прошлом квартале.

Основной вклад в высокий квартальный уровень вредоносов внес сентябрь. В июле и августе количество таких писем было невелико (0,11% и 0,05% соответственно), однако в сентябре их доля выросла до небывалых высот — 1,22%.

Если в первые два месяца большей популярностью у спамеров пользовались такие вредоносные программы как Email-Worm.Win32.NetSky, Net-Worm.Win32.Mytob и Backdoor.Win32.Bredolab (2 червя и троянская программа, основные цели которых - сбор адресов и включение компьютера в зомби-сеть), то в сентябре лидерами стали Trojan-Downloader семейства FraudLoad (48,6% от общего числа писем с вредоносными вложениями).

Целью программ-даунлоадеров является загрузка и установка на зараженном компьютере вредоносной или рекламной программы. Семейство FraudLoad создано для установки на компьютер жертвы популярных в последнее время поддельных антивирусов.

Эти программы выдают на экран монитора сообщения о несуществующих угрозах и предложения заплатить за их удаление. Как правило, фальшивые антивирусы довольно сложно удалить с компьютера... Подробнее о них можно прочитать в статье:
Ловушки интернета - примеры и методы защиты от них.

Большая часть вредоносных писем была подделана под сообщения от известных служб доставки (чаще всего DHL и UPS) или систем денежного перевода (чаще всего Western Union).

В письмах сообщалось, что служба не смогла доставить отправленную пользователем посылку (либо на его имя пришел денежный перевод), а в приложении находится квитанция (либо контрольный номер перевода). На самом деле в приложении находилась вредоносная программа.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Также злоумышленники использовали популярность социальных сетей. Например, одно из писем имитировало приглашение стать пользователем социальной сети Twitter:

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009



5. Страны - источники спама
Рейтинг стран, из которых рассылается спам, выглядит вполне традиционно: на первом месте США, на втором Бразилия, в ТОП 10 по-прежнему много восточных и восточно-европейских стран.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Однако количество спама, рассылаемого из разных стран, менялось в течение квартала. Так, в августе доля спама, рассылаемого из США, существенно сократилась. В то же время резко увеличился процент спамовых писем, рассылаемых из Польши.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009



6. Типы и размеры спамовых писем
Количество суперкоротких писем (менее 5Кб) уменьшилось по сравнению с первым полугодием. В третьем квартале оно составило 47,2% от общего количества спамовых писем, что меньше усредненного показателя за первое полугодие на 10,7%.

Размеры спамовых писем:
Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


А вот писем, размер которых составляет от 5 до 10Кб и от 10 до 20Кб, стало несколько больше. В третьем квартале доля писем в формате html выросла на 8,2%, по сравнению со средним показателем первого полугодия.

Распределение спамовых писем по форматам:
Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Таким образом, в спаме стало меньше коротких писем в текстовом формате и больше коротких писем в формате html. Это говорит о том, что спамеры заботятся о внешнем виде своих писем.

Кроме того, в html-формате гораздо проще скрыть от неискушенного пользователя настоящий URL, на который ведет ссылка в письме.



7. Спамерские методы и трюки
В третьем квартале для обхода фильтров спамеры использовали уже известные методы - html-таблицы и графический спам.

Надо признать, что записанные в виде таблицы адреса и телефоны легко читаются, выглядят более аккуратно, чем раньше, и соразмерны формату письма (когда этот метод был только придуман, приходилось сталкиваться с огромными буквами и цифрами контактных телефонов, производившими нелепое впечатление).

Для закрашивания ячеек таблицы спамеры стали использовать не только черный, но и другие цвета.

В приведенном ниже примере надпись «Replica Watches binnew.com» на самом деле представляет собой html-таблицу со множеством ячеек, часть которых закрашена.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Что касается графического спама, то его создатели продолжают экспериментировать. Если раньше в письмах встречались картинки, на которых текст был наклонен в разные стороны, то теперь на картинках даже буквы на одной строке могут находиться на разных уровнях, либо строки идут «волнами».

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Кроме того, спамеры вспомнили такой старый метод, как замусоривание ссылки. Так, в одном из писем в ссылки случайным образом были добавлены цифры, а пользователя просили удалить эти лишние символы из адреса:

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Несмотря на то, что такие письма могут представлять проблему для фильтров, все они имеют существенный недостаток: пользователь должен сам набирать адрес в строке браузера (а не просто щелкнуть на гиперссылку или скопировать адрес в окно браузера).

В последнем примере надо еще догадаться, какие именно цифры следует убрать. Лишь очень усердный пользователь возьмет на себя такой труд.



8. Тематические категории спама

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


9. Категории спама, лидировавшие в третьем квартале 2009 г.
1. Образование - 18,8% (+7,8%)
2. Медикаменты; товары/услуги для здоровья - 17,3% (-8,1%)
3. Реклама спамерских услуг - 10,1% (-7,6%)
4. Реплики элитных товаров - 9,5% (+1,1%)
5. Отдых и путешествия - 6,9% (+2,5%)

В третьем квартале распределение спама по тематическим категориям значительно изменилось.

Традиционно лидировавшая рубрика «Медикаменты; товары/услуги для здоровья» потеряла 8% и уступила первую строчку в рейтинге. Первое место занял спам, объединяемый нами в рубрику «Образование».

Большую часть этого спама составляет реклама семинаров и тренингов для бухгалтеров, юристов и менеджеров, а также реклама языковых курсов, тренингов личностного роста, частных школ и ВУЗов.

Во время кризиса доля этого спама сильно уменьшилась. Так, в первом полугодии 2009 года она была в полтора раза ниже традиционных 13-14% и лишь к июню вернулась на докризисные рубежи.

Во втором квартале спам категории «Образование» занимал лишь третье место в рейтинге спам-тематик.

Судя по всему, компании, проводящие образовательные тренинги и семинары, испытали на себе сильное давление неблагоприятной экономической ситуации в первой половине года.

Доля писем рубрики «Образование» в общем потоке спама:
Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


А вот традиционного летнего спада рубрика «Образование» не продемонстрировала. Летом доля этих писем немного поднялась, а в сентябре и вовсе достигла рекордных 27,6% от всего объема спама.

Второй тематической категорией, на которой сильно отразился кризис, была рубрика «Отдых и путешествия», - этот спам выбыл из пятерки лидеров с января по июль текущего года.

Однако в третьем квартале он, как и «образовательный» спам, укрепил свои позиции и снова вошел в пятерку лидирующих видов спама.

По сравнению со вторым кварталом доля рубрики «Отдых и путешествия» выросла на 2,5%. В августе и сентябре такого спама было даже больше, чем в соответствующие месяцы прошлого года.

Доля писем рубрики «Отдых и путешествия» в общем потоке спама:
Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


Спам тематики «Отдых и путешествия» состоит из двух примерно равных по объему групп. Первая группа - это полулегальные рассылки турфирм.

У таких компаний есть свои подписчики, однако эти турфирмы рассылают свои сообщения еще и по спамерской базе адресов.

Как правило, у таких рассылок адекватные не подделанные заголовки, в том числе и обратный адрес, а сообщения не зашумлены лишними символами и фрагментами текста.

Вторая группа - классические спамерские рассылки с подделанными заголовками, зашумленными телефонами, искаженным текстом и т.д.

Примечательно, что полулегальный туристический спам предлагает преимущественно заграничный отдых - туры на Маврикий, в Индонезию и Португалию.

А письма из второй группы рекламируют отдых в Подмосковье и на юге России - круизы по Москве-реке и гостиницы на Азовском море, а также развлекательные мероприятия (вроде кубка по футболу) или отдых в ночных клубах.

Рубрика «Реклама спамерских услуг», доля которой активно росла в первом полугодии 2009 года, напротив, пошла на спад. На протяжении третьего квартала ее доля быстро снижалась.

В июле она еще составляла 15%, к августу сократилась до 10%, а в сентябре составила лишь 5%, фактически вернувшись к докризисному уровню.

Доля писем, рекламирующих услуги самих спамеров, в общем потоке спама:
Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


В результате, в третьем квартале 2009 года мы видим картину, противоположную первому полугодию: доли рубрик, снизивших свои показатели в начале года, в третьем квартале пошли вверх и даже превысили свои прошлогодние показатели.

А рубрика «Реклама спамерских услуг», переживавшая в период кризиса небывалый подъем, сильно сократила свои объемы.

Очевидно, что уменьшение доли саморекламы спамеров связано с увеличением числа заказов на рассылки.

Если раньше, лишившись части заказов, спамеры усилили свою собственную рекламу, то теперь, по всей видимости, необходимость в таких мерах отпала. Таким образом, ослабление экономического кризиса влияет и на тематическое распределение спама.

И наоборот: смотря на картину распределения категорий спама, можно видеть, как различные отрасли теневой (и не только) экономики постепенно выходят из кризиса.



10. Звуковые «наркотики»
В течение года мы неоднократно писали о спамовых письмах, в которых получателя различными способами провоцируют послать SMS-сообщение на короткий премиум-номер.

Стоимость такого сообщения составляет примерно 300 рублей, а высокая цена на него является источником заработка спамеров либо их заказчиков.

Среди приемов, используемых в таком спаме для того чтобы «уговорить» пользователя послать сообщение, встречались угрозы заблокировать аккаунт, предложения купить не предоставляемую реально услугу, заплатить за просмотр страниц сайта и т.д.

В третьем квартале появился новый предлог, используемый в подобных мошеннических письмах, - спамеры предлагали заплатить с помощью SMS за аудио-файлы, результаты прослушивания которых якобы напоминают результаты воздействия различных наркотиков.

Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009


На настоящий момент информация о том, что подобные файлы не обладают никаким специфическим воздействием на организм человека, уже облетела интернет, и количество подобного спама сразу сократилось.

Как и в других случаях, этот вид мошенничества был эффективен только до тех пор, пока его не разоблачили.



11. Заключение и прогнозы
Количество спама в третьем квартале соответствует ожиданиям: летнее затишье сменяется осенним ростом.

Закономерны и изменения в тематическом составе спама. Как мы и предполагали ранее, ситуация в спаме в определенной мере отражает ситуацию в экономике.

Начавшаяся осенью 2008 года рецессия сопровождалась снижением количества спама, рекламирующего товары и услуги. Теперь, в период постепенного ослабления кризиса, ситуация меняется. Так, спама категорий «Образование» и «Отдых и путешествия» стало заметно больше («образовательный» спам даже вышел на первое место).

В то же время количество незапрошенных рассылок, рекламирующих спамерские услуги, вернулось к докризисному уровню. Это говорит о том, что в настоящий момент у спамеров достаточно заказчиков, и они больше не используют простаивающие мощности для собственной рекламы.

Существенно выросла доля фишинга и писем с вредоносными вложениями. Как правило, такой резкий рост числа мошеннических писем связан с разовой массированной атакой и длится недолго.

Однако пользователям следует быть осторожными и не кликать по ссылкам из писем, если доподлинно не известен их источник. Стоит очень осторожно относиться к вложенным в письма файлам.

Учитывая то, как умело спамеры пользуются социальной инженерией при рассылке писем с вредоносными вложениями, нельзя исключать, что в будущем такие письма могут быть подделаны под сообщения от друзей и знакомых, либо могут рассылаться со взломанных аккаунтов.



источник:
securelist.com
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.