Лаборатория Касперского представила отчет о спам-активности в третьем квартале 2009

» Доля спама в почтовом трафике в третьем квартале составила 85,7%.
» Доля фишинговых писем выросла на 0,5% и составила 0,99% от всего почтового трафика.
» Доля писем с вредоносными вложениями составила 0,46% от почтового трафика (1,22% в сентябре).
» Доля реального сектора экономики в тематиках спама растет, доля саморекламы спамеров падает.
» Спамеры продолжают использовать html-таблицы и графический спам для обхода фильтров.

Доля спама в почтовом трафике в третьем квартале составила в среднем 85,7%. Летом количество спама было традиционно немного ниже, а в сентябре оно стало заметно расти. Однако это не свидетельствует об общей тенденции к росту доли спама в почтовом трафике, - сентябрьский рост доли спама связан с окончанием сезона отпусков

Доля спама в почтовом трафике в третьем квартале 2009:

Самый низкий долевой показатель спама наблюдался 1 августа, он составил 76,3%. Это был единственный день за три месяца, когда уровень спама опустился ниже отметки в 80%. Самый высокий показатель был отмечен 27 сентября и составил 91,3%.

Фишинговые письма в третьем квартале 2009 года составили около 1% (0,99%) всех электронных писем. По сравнению со вторым кварталом (0,49%) их доля в почтовом трафике увеличилась вдвое.

Как и раньше, чаще всего фишинговым атакам, подвергались платежная система PayPal и аукцион eBay. Лишь в августе они временно уступили свои лидирующие позиции.

На диаграмме видно, что в августе доля фишинг-атак на PayPal и eBay сократилась очень существенно. В то же время увеличился процент атак на банки.

Так, доля атак на банк CHASE , обычно не превышающая 2%, увеличилась до 30,6%. В похожем «выигрыше» оказались и другие банки: доля атак на Bank of America в августе составляла 19% (обычно - 3-5%).

Атак на Ally Bank также было значительно больше, чем в другое время: 11,08% вместо обычных 1-2%. На этом примере видно, что, хотя PayPal и eBay и являются излюбленными мишенями фишеров, периодически основными целями злоумышленников становятся банки. Так, банк Chase подвергался аналогичной массированной атаке около года назад.

Среди новинок в области фишинга можно назвать появившиеся в этом квартале сообщения, не содержащие ссылки на поддельные сайты. Вместо них в сообщении указывается телефонный номер, на который якобы нужно позвонить, чтобы получить доступ к своему счету.

Кроме того, в сентябре активно рассылались сообщения, в которых был использован характерный для фишинговых писем прием, - в них сообщалось о том, что аккаунт пользователя в скором времени будет заблокирован. Речь, однако, шла не о банковском счете или почтовом сервере, а об аккаунте пользователя на сайте онлайн-аптеки.

Потеря такого аккаунта якобы лишит пользователя возможности покупать медикаменты без рецепта врача. Чтобы избежать этого пользователю рекомендовалось срочно сделать заказ на сайте.

Разумеется, аккаунтов, о которых шла речь в письмах, у получателей не было, однако расчет спамеров был на то, что пользователей заинтересует возможность покупать медицинские препараты без рецепта.

В третьем квартале 2009 года одновременно с активизацией фишинговых атак возрос и процент писем, содержащих вредоносные вложения. Их доля составила в среднем 0,46% всех электронных писем, что на 0,29% выше, чем в прошлом квартале.

Основной вклад в высокий квартальный уровень вредоносов внес сентябрь. В июле и августе количество таких писем было невелико (0,11% и 0,05% соответственно), однако в сентябре их доля выросла до небывалых высот — 1,22%.

Если в первые два месяца большей популярностью у спамеров пользовались такие вредоносные программы как Email-Worm.Win32.NetSky, Net-Worm.Win32.Mytob и Backdoor.Win32.Bredolab (2 червя и троянская программа, основные цели которых - сбор адресов и включение компьютера в зомби-сеть), то в сентябре лидерами стали Trojan-Downloader семейства FraudLoad (48,6% от общего числа писем с вредоносными вложениями).

Целью программ-даунлоадеров является загрузка и установка на зараженном компьютере вредоносной или рекламной программы. Семейство FraudLoad создано для установки на компьютер жертвы популярных в последнее время поддельных антивирусов.

Эти программы выдают на экран монитора сообщения о несуществующих угрозах и предложения заплатить за их удаление. Как правило, фальшивые антивирусы довольно сложно удалить с компьютера... Подробнее о них можно прочитать в статье:
Ловушки интернета - примеры и методы защиты от них.

Большая часть вредоносных писем была подделана под сообщения от известных служб доставки (чаще всего DHL и UPS) или систем денежного перевода (чаще всего Western Union).

В письмах сообщалось, что служба не смогла доставить отправленную пользователем посылку (либо на его имя пришел денежный перевод), а в приложении находится квитанция (либо контрольный номер перевода). На самом деле в приложении находилась вредоносная программа.

Также злоумышленники использовали популярность социальных сетей. Например, одно из писем имитировало приглашение стать пользователем социальной сети Twitter:

Рейтинг стран, из которых рассылается спам, выглядит вполне традиционно: на первом месте США, на втором Бразилия, в ТОП 10 по-прежнему много восточных и восточно-европейских стран.

Однако количество спама, рассылаемого из разных стран, менялось в течение квартала. Так, в августе доля спама, рассылаемого из США, существенно сократилась. В то же время резко увеличился процент спамовых писем, рассылаемых из Польши.

Количество суперкоротких писем (менее 5Кб) уменьшилось по сравнению с первым полугодием. В третьем квартале оно составило 47,2% от общего количества спамовых писем, что меньше усредненного показателя за первое полугодие на 10,7%.

Размеры спамовых писем:

А вот писем, размер которых составляет от 5 до 10Кб и от 10 до 20Кб, стало несколько больше. В третьем квартале доля писем в формате html выросла на 8,2%, по сравнению со средним показателем первого полугодия.

Распределение спамовых писем по форматам:

Таким образом, в спаме стало меньше коротких писем в текстовом формате и больше коротких писем в формате html. Это говорит о том, что спамеры заботятся о внешнем виде своих писем.

Кроме того, в html-формате гораздо проще скрыть от неискушенного пользователя настоящий URL, на который ведет ссылка в письме.

В третьем квартале для обхода фильтров спамеры использовали уже известные методы - html-таблицы и графический спам.

Надо признать, что записанные в виде таблицы адреса и телефоны легко читаются, выглядят более аккуратно, чем раньше, и соразмерны формату письма (когда этот метод был только придуман, приходилось сталкиваться с огромными буквами и цифрами контактных телефонов, производившими нелепое впечатление).

Для закрашивания ячеек таблицы спамеры стали использовать не только черный, но и другие цвета.

В приведенном ниже примере надпись «Replica Watches binnew.com» на самом деле представляет собой html-таблицу со множеством ячеек, часть которых закрашена.

Что касается графического спама, то его создатели продолжают экспериментировать. Если раньше в письмах встречались картинки, на которых текст был наклонен в разные стороны, то теперь на картинках даже буквы на одной строке могут находиться на разных уровнях, либо строки идут «волнами».

Кроме того, спамеры вспомнили такой старый метод, как замусоривание ссылки. Так, в одном из писем в ссылки случайным образом были добавлены цифры, а пользователя просили удалить эти лишние символы из адреса:

Несмотря на то, что такие письма могут представлять проблему для фильтров, все они имеют существенный недостаток: пользователь должен сам набирать адрес в строке браузера (а не просто щелкнуть на гиперссылку или скопировать адрес в окно браузера).

В последнем примере надо еще догадаться, какие именно цифры следует убрать. Лишь очень усердный пользователь возьмет на себя такой труд.

1. Образование - 18,8% (+7,8%)
2. Медикаменты; товары/услуги для здоровья - 17,3% (-8,1%)
3. Реклама спамерских услуг - 10,1% (-7,6%)
4. Реплики элитных товаров - 9,5% (+1,1%)
5. Отдых и путешествия - 6,9% (+2,5%)

В третьем квартале распределение спама по тематическим категориям значительно изменилось.

Традиционно лидировавшая рубрика «Медикаменты; товары/услуги для здоровья» потеряла 8% и уступила первую строчку в рейтинге. Первое место занял спам, объединяемый нами в рубрику «Образование».

Большую часть этого спама составляет реклама семинаров и тренингов для бухгалтеров, юристов и менеджеров, а также реклама языковых курсов, тренингов личностного роста, частных школ и ВУЗов.

Во время кризиса доля этого спама сильно уменьшилась. Так, в первом полугодии 2009 года она была в полтора раза ниже традиционных 13-14% и лишь к июню вернулась на докризисные рубежи.

Во втором квартале спам категории «Образование» занимал лишь третье место в рейтинге спам-тематик.

Судя по всему, компании, проводящие образовательные тренинги и семинары, испытали на себе сильное давление неблагоприятной экономической ситуации в первой половине года.

Доля писем рубрики «Образование» в общем потоке спама:

А вот традиционного летнего спада рубрика «Образование» не продемонстрировала. Летом доля этих писем немного поднялась, а в сентябре и вовсе достигла рекордных 27,6% от всего объема спама.

Второй тематической категорией, на которой сильно отразился кризис, была рубрика «Отдых и путешествия», - этот спам выбыл из пятерки лидеров с января по июль текущего года.

Однако в третьем квартале он, как и «образовательный» спам, укрепил свои позиции и снова вошел в пятерку лидирующих видов спама.

По сравнению со вторым кварталом доля рубрики «Отдых и путешествия» выросла на 2,5%. В августе и сентябре такого спама было даже больше, чем в соответствующие месяцы прошлого года.

Доля писем рубрики «Отдых и путешествия» в общем потоке спама:

Спам тематики «Отдых и путешествия» состоит из двух примерно равных по объему групп. Первая группа - это полулегальные рассылки турфирм.

У таких компаний есть свои подписчики, однако эти турфирмы рассылают свои сообщения еще и по спамерской базе адресов.

Как правило, у таких рассылок адекватные не подделанные заголовки, в том числе и обратный адрес, а сообщения не зашумлены лишними символами и фрагментами текста.

Вторая группа - классические спамерские рассылки с подделанными заголовками, зашумленными телефонами, искаженным текстом и т.д.

Примечательно, что полулегальный туристический спам предлагает преимущественно заграничный отдых - туры на Маврикий, в Индонезию и Португалию.

А письма из второй группы рекламируют отдых в Подмосковье и на юге России - круизы по Москве-реке и гостиницы на Азовском море, а также развлекательные мероприятия (вроде кубка по футболу) или отдых в ночных клубах.

Рубрика «Реклама спамерских услуг», доля которой активно росла в первом полугодии 2009 года, напротив, пошла на спад. На протяжении третьего квартала ее доля быстро снижалась.

В июле она еще составляла 15%, к августу сократилась до 10%, а в сентябре составила лишь 5%, фактически вернувшись к докризисному уровню.

Доля писем, рекламирующих услуги самих спамеров, в общем потоке спама:

В результате, в третьем квартале 2009 года мы видим картину, противоположную первому полугодию: доли рубрик, снизивших свои показатели в начале года, в третьем квартале пошли вверх и даже превысили свои прошлогодние показатели.

А рубрика «Реклама спамерских услуг», переживавшая в период кризиса небывалый подъем, сильно сократила свои объемы.

Очевидно, что уменьшение доли саморекламы спамеров связано с увеличением числа заказов на рассылки.

Если раньше, лишившись части заказов, спамеры усилили свою собственную рекламу, то теперь, по всей видимости, необходимость в таких мерах отпала. Таким образом, ослабление экономического кризиса влияет и на тематическое распределение спама.

И наоборот: смотря на картину распределения категорий спама, можно видеть, как различные отрасли теневой (и не только) экономики постепенно выходят из кризиса.

В течение года мы неоднократно писали о спамовых письмах, в которых получателя различными способами провоцируют послать SMS-сообщение на короткий премиум-номер.

Стоимость такого сообщения составляет примерно 300 рублей, а высокая цена на него является источником заработка спамеров либо их заказчиков.

Среди приемов, используемых в таком спаме для того чтобы «уговорить» пользователя послать сообщение, встречались угрозы заблокировать аккаунт, предложения купить не предоставляемую реально услугу, заплатить за просмотр страниц сайта и т.д.

В третьем квартале появился новый предлог, используемый в подобных мошеннических письмах, - спамеры предлагали заплатить с помощью SMS за аудио-файлы, результаты прослушивания которых якобы напоминают результаты воздействия различных наркотиков.

На настоящий момент информация о том, что подобные файлы не обладают никаким специфическим воздействием на организм человека, уже облетела интернет, и количество подобного спама сразу сократилось.

Как и в других случаях, этот вид мошенничества был эффективен только до тех пор, пока его не разоблачили.

Количество спама в третьем квартале соответствует ожиданиям: летнее затишье сменяется осенним ростом.

Закономерны и изменения в тематическом составе спама. Как мы и предполагали ранее, ситуация в спаме в определенной мере отражает ситуацию в экономике.

Начавшаяся осенью 2008 года рецессия сопровождалась снижением количества спама, рекламирующего товары и услуги. Теперь, в период постепенного ослабления кризиса, ситуация меняется. Так, спама категорий «Образование» и «Отдых и путешествия» стало заметно больше («образовательный» спам даже вышел на первое место).

В то же время количество незапрошенных рассылок, рекламирующих спамерские услуги, вернулось к докризисному уровню. Это говорит о том, что в настоящий момент у спамеров достаточно заказчиков, и они больше не используют простаивающие мощности для собственной рекламы.

Существенно выросла доля фишинга и писем с вредоносными вложениями. Как правило, такой резкий рост числа мошеннических писем связан с разовой массированной атакой и длится недолго.

Однако пользователям следует быть осторожными и не кликать по ссылкам из писем, если доподлинно не известен их источник. Стоит очень осторожно относиться к вложенным в письма файлам.

Учитывая то, как умело спамеры пользуются социальной инженерией при рассылке писем с вредоносными вложениями, нельзя исключать, что в будущем такие письма могут быть подделаны под сообщения от друзей и знакомых, либо могут рассылаться со взломанных аккаунтов.