Апрель в цифрах или спам в апреле 2012 года


KasperskyLabs

Апрель в цифрах

  • Доля спама в почтовом трафике составила - 77,2% (+2,2% по сравнению с мартом).
  • Доля фишинговых писем в почтовом потоке составила - 0,01%.
  • Вредоносные файлы содержались в 2,8% всех электронных сообщений.
  • Фишинговые атаки нацелены на пользователей Facebook - более 20% были.

 

Главные темы спама

Wikipedia и Amazon — неудачный опыт
В апреле специалистами Лаборатории Касперского был зафиксирован спам, подделаный под официальное сообщение Facebook. В сообщении сообщалось, что пользователь хочет добавить получателя в друзья. Эта рассылка была сделана качественно и, на первый взгляд, не вызывала сомнений в подлинности. При переходе по любой из содержащихся в сообщении ссылок, пользователь попадал на страничку, зараженную вредоносным кодом. Единственное, что ссылки в письмах вели не на взломанные домены или только что зарегистрированные сайты в доменной зоне .in или .co.cc, а на странички на сайтах Wikipedia или Amazon.

Redirekt na Wikipedia i Amazon

Видимо злоумышленники разместили вредоносные скрипты на вновь созданных ими страницах Wikipedia, а также под видом рекламы секонд-хенд товаров на сайте Amazon.com. Однако трюк не сработал. Команды по разрешению инцидентов обоих сервисов среагировали быстро, и уже во время распространения рассылки ссылки были нерабочими.


Diablo III — фишинг до релиза
В начале июня увидит свет ожидаемая многими геймерами планеты игра Diablo III. В свою очередь злоумышленники начали использовать эту игру в своих целях еще до ее выхода.

В спам-потоках появились фишинговые сообщения, играющие на нетерпении геймеров, ожидающих заветный релиз. В них сообщается, что они получили право в течение определенного периода играть в бета-версию Diablo III, для чего нужно войти под своей учетной записью на сайт battle.net (ресурс, на котором хранятся учетные записи игроков Blizzard). Ссылка, указанная в письме, ведет на фишинговую страничку. Текст от сообщения к сообщению незначительно меняется, однако смысл его остается прежним.

Phishingovaya stranica Diablo III

Получив регистрационные данные пользователя от battle.net, злоумышленники получают доступ к его аккаунтам в таких популярных игровых системах, как Warcraft и Starcraft, которые по-прежнему пользуются спросом на черном рынке.


Политический спам
В России постепенно утихают митинги и протестные движения. Вместе с ними сходит на нет и политический спам.

В спам-потоках остаются в небольших количествах сообщения экстремистского характера. Основной темой таких сообщений в апреле стали события, разворачивающиеся вокруг группы Pussy Riot. Спамеры призывают пользователей обратить внимание на сложившуюся ситуацию и добиться освобождения девушек.

В то же время активизировался политический спам, нацеленный на американскую и французскую аудиторию. Упоминания Барака Обамы в спаме стали почти столь же частыми, как в первый год после его избрания. При этом его имя используется не только в политических сообщениях, содержащих "разоблачение его политического курса" или указания на то, что президент США "боится проиграть грядущие выборы", но и в рекламе различных традиционно спамерских товаров. Например, в спам-рассылке, предлагающей пользователям покупку виагры.

Spam-Viagra

С приближением выборов в США интерес пользователей как к самой теме борьбы за президентское кресло, так и к личностям кандидатов и нынешнего президента будет только расти. Спамеры, бесспорно, будут не только подогревать этот интерес, поддерживая в рассылках ту или иную сторону, но и продолжат использовать этот интерес в своих целях. В ближайшие месяцы ожидается увеличение количества сообщений, содержащих ссылки, якобы ведущие на страницы с сенсационной информацией о том или ином кандидате или выборах в целом. Пройдя по ссылке, пользователь в лучшем случае обнаружит рекламу медикаментов для увеличения потенции, как в предложенном выше примере, а в худшем — вредоносную программу.

Активизировался и французский политический спам. Зафиксированные рассылки были немногочисленны. Среди них были предложения о покупке футболок с текстом, агитирующим за Николя Саркози.

Agitaciya za Sarcozi

Другие актуальные темы
Нашла свое отражение в спаме и сложная ситуация в Сирии. "Нигерийские" спамеры активно рассылают сообщения от имени "юристов и банковских служащих, работающих на территории страны". В конце месяца было зафиксировано также сообщение от "жены Асада".

Все активнее рассылается спам, эксплуатирующий тему Чемпионата Европы по футболу. Это событие все ближе, и интерес пользователей к нему растет день ото дня. Многие спамерские рассылки предлагают любителям футбола, не забронировавшим заранее места в отелях, оставшиеся места в гостиницах Польши и Украины.

Летняя Олимпиада в Лондоне находится в фокусе внимания "лотерейных" мошенников. Практически ежедневно фиксируются письма, сообщающие о выигрыше в лотерею, якобы проводимую Олимпийским фондом.

London Olympics Pay-Out


Статистический обзор

Страны — источники спама

Страны — источники спама в апреле 2012 года

В апреле состав TOP 20 стран — источников спама претерпел значительные изменения по сравнению с предыдущими месяцами.

Доля спама, распространенного с территории:

  • США выросла более чем на 7%;
  • Китай - (+5%);
  • Индонезия - (-5,2%).


Такое изменение "ландшафта" связано с перераспределением мощностей спамерских ботнетов и перемещением части из них в регионы, где спам-активность последний год была пониженной. Отметим, что и США, и Китай (и особенно Гонконг) в первом квартале 2012 года были одними из основных мишеней спамеров, распространяющих вредоносные рассылки. Заражение новых компьютеров в этих странах, видимо, и привело к построению там новых зомби-сетей.

Остальные изменения в рейтинге стран — источников спама находятся в пределах 2,5%.


Вредоносные вложения в почте
В апреле вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца.


Распределение срабатываний почтового антивируса по странам

Srabativanie pochtovogo antivirusa v aprele 2012
Срабатывание почтового антивируса в апреле 2012 года


Доля срабатываний Kaspersky Mail Antivirus на территории:

  • США — (+0,64%);
  • Австралию - (-3,9%);
  • Гонконг - (-2%);
  • Вьетнам - (+2,4%).


Доли остальных стран рейтинга изменились в пределах 2%.


ТОP 10 вредоносных программ, распространенных в почте

TOP 10 vredonosnih programm v pochte v aprele 2012
ТОP 10 вредоносных программ, распространенных в почте в апреле 2012 года

Детектирование Kaspersky Mail Antivirus приходится на:

  • Trojan-Spy.HTML.Fraud.gen - 13,7% (+1,6%). Вредоносная программа, выполнена в виде html-странички, имитирующей регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.

  • Почтовые черви Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m и Email-Worm.Win32.NetSky.q — занимают в рейтинге третье, пятое и девятое места. Почтовые черви семейств Mydoom и Netsky собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt — червь, который помимо этого может также обращаться к Интернет-ресурсам для загрузки оттуда вредоносных программ.

  • Троян Trojan-Downloader.JS.Iframe.cvq - 2% от всех срабатываний почтового антивируса. Около 10% всех срабатываний почтового антивируса в апреле пришлись на скриптовые вредоносные программы, задетектированные проактивными методами. Это довольно тревожные данные, поскольку скриптовые зловреды в HTML-сообщениях начинают свою деструктивную активность, как только пользователь открывает сообщение.


Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с мартом уменьшилась вдвое и составила 0,01%.

Raspredelenie TOP 100 organizac atakov fisherami po kat v aprele 2012
Распределение TOP 100 организаций, атакованных фишерами, по категориям апрель 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга продукта ЛК на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В апреле произошло заметное изменение в рейтинге категорий организаций, наиболее интересных фишерам:

  • социальные сети - 28,8%;
  • финансовые организации - 23,61%.


Онлайн-магазины и поисковые системы, IT-вендоры и организации, входящие в категорию "другие". Все эти изменения находятся в пределах 1,5%.


Тематические направления в спаме

Tematich kat spama v aprele 2012
Тематические категории спама в апреле 2012 года

  • Образовательный спам - (+8,8%);
  • Реклама недвижимости - (+3,8%);
  • Услуги и товары, связанные с ремонтом и благоустройством - (+8,2%).


Увеличение долей этих рубрик напрямую связано с приближением дачного сезона. Целевая аудитория спамеров — владельцы загородного жилья и те, кто еще только собирается такое жилье приобрести.

  • В целом доля заказного спама в апреле превысила - 60%.
  • Доля партнерского спама в Рунете сократилась почти на - 10%.


Заключение

По итогам месяца в спаме в Рунете прослеживаются две тенденции:

  • спам становится все опаснее;
  • в спам-потоках сохраняется реклама товаров и услуг, заказанная малым и средним бизнесом.


То, что заказчики рекламы не брезгуют соседством с опасными рассылками — это в конечном итоге результат недостаточной информированности пользователей. Спам не был бы столь привлекательным способом рекламы, если бы на него не было отклика, а отклика не было бы, если бы пользователи были осведомлены о том, какая опасность угрожает работоспособности их компьютеров, их личным данным и даже деньгам, когда они открывают спамерское сообщение.

В ближайшие месяц-два ожидается некоторое уменьшение доли заказного спама, которое, к сожалению, будет исключительно сезонным.

Вектор фишинговых атак, продолжит смещаться в сторону социальных сетей и, возможно, онлайн-игр. Впереди время летних каникул, когда основным источником онлайн-активности будут школьники и студенты, не имеющие счета в банках, но зато активно использующие различные социальные и развлекательные онлайн-сервисы.