Лаборатория Касперского: Спам в январе 2013 года


KasperskyLabs

Январь в цифрах

  • Доля спама в почтовом трафике в январе - составила 58,3% (- 7,7% по сравнению с декабрем).
  • Доля фишинговых писем в почтовом потоке - составила 0,003% (уменьшилась вдвое по сравнению с декабрем).
  • Вредоносные вложения в письмах - содержались в 3% писем (- 0,15% чем в декабре).

 

Главные события месяца

Праздники
В январе были многочисленные рассылки, эксплуатирующие тему предстоящих праздников. Большинство рассылок на русском языке были посвящены праздникам — 23 февраля и 8 марта.

Традиционный спам рассылался с предложениями о покупке цветов и различных "мужских" сувениров. Возросло количество писем с туристическими и развлекательными предложениями в честь предстоящих праздников.

Spam k 8 marta 2013 Spam k 23 fevralya 2013

Ко дню святого Валентина в спаме на английском языке были зарегистрированы ставшие уже традиционными для предпраздничных периодов рассылки "цветочных" партнерок.

Spam ko dnu svyatogo Valentina 2013

Также ко дню святого Валентина в спам-рассылках прикрепляли различные подарки с индивидуальной символикой и надписями.

Podarki v spame ko dnu svyatogo Valentina 2013

Даже в рассылках с предложениями кредитов, рекламой таблеток для похудения и реплик элитных товаров спамеры ставили "праздничные" темы писем в поле Subject.

Start Valentines day early


From China with spam
Спамовые письма из Китая - лидера стран — источников распространения спама, с предложениями о бизнес-сотрудничестве, заполонили интернет. Неизвестные компании через спам продают игрушки, кепки с фонариками, компьютерную технику, предоставляют транспортные услуги. Характерной чертой таких писем является приветствие без личного обращения к адресату.

В январе подобных писем из Китая, с предложением о продаже компьютерной техники, было огромное количество. Одно из подобных писем было получено Лабораторией Касперского. Отправитель письма ссылается на страничку официального сайта компании, посвященную антивирусному продукту для системы Android. В письме приводятся все контактные данные отправителя.

Spam s ssilkoi na antivirus dly Android

Это письмо выглядит как хороший шаблон, отправитель только меняет адресата и ссылку на страницу официального сайта получателя.


Географическое распределение источников спама

По итогам января среди стран — источников спама, распространяемого по всему миру, по-прежнему лидируют:

  • Китай - 28,8% (- 5,4%);
  • США - 19,3% (+ 3,7%);
  • Южная Корея - 6,8% (+ 4,1%).

В целом из этих двух стран в январе было разослано 48,1% мирового спама.

Strani ist spama v mire v janvare 2013
Страны — источники спама в мире

В январе Индия спустилась на 5-е место (- 1,7%), а Россия в рейтинге поднялась на одну строчку вверх (+ 1,8%) и по итогам января заняла четвертое место.

Германия, занимавшая в декабре 7-ю строчку, в январе опустилась сразу на 17-е место с показателем 0,9%.

В Рунете произошли существенные изменения.

Strani ist spama v runete v janvare 2013
Страны — источники спама в Рунете

Лидерами в январе стали:

  • Россия - 13,5% (+5,9%);
  • США - 13,5% (+7%);
  • Вьетнам - 10,6% (-4,4%).


Среди регионов лидерами по распространению спама остаются:

  • Азия - 50,9%;
  • Северная Америка - 19,8%;
  • Западная Европа - 11,7%.

Regioni ist spama v janvare 2013
Регионы — источники спама


Вредоносные вложения в почте

Хотя доля спама в почтовом трафике в январе уменьшилась, однако количество рассылок с вредоносными вложениями остается весьма высоким. В январе вредоносные вложения содержались в 3% писем, что на 0,15% меньше, чем в прошлом месяце.

TOP 10 Vredonos prog rasprostr v pochte v janvare 2013
TOP 10 вредоносных программ, распространявшихся в почте

Лидерами в январе среди зловредов, чаще всего распространяемых в почте стали:

  • Trojan-Spy.HTML.Fraud.gen - троян, похищающий данные онлайн-банкинга, которые киберпреступники используют для кражи денег с пользовательских счетов.

  • Почтовый червь Mydoom -  распространяющий себя по контактам пользователей и предназначенный для сбора почтовых адресов.

  • Почтовый червь Bagle - предназначенный для сбора почтовых адресов, а также способный подгружать на компьютер пользователя другие вредоносные программы.

  • Программы семейства Andromeda - закачивающие на компьютер пользователя другие вредоносные программы, после чего удаляют свой оригинальный файл. Занимают в январе 4-е, 5-е и 7-е места.

Raspred srabativanii pochtovogo anvir po stranam v janvare 2013
Распределение срабатываний почтового антивируса по странам

Страны, куда направлялись письма с вредоносными вложениями, лидирует США. Неудивительно, ведь США лидирует и по количеству интернет-пользователей. К тому же многие вредоносные программы нацелены на кражу паролей от онлайн-банкинга, который в США весьма развит и популярен.

Продолжаются рассылки вредоносных писем, подделанных под уведомления различных сервисов. В январе под удар спамеров попал популярный сервис по бронированию авиабилетов Lufthansa.com. В фальшивом письме, якобы пришедшем с адреса

  • Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

содержался вредоносный zip-архив с файлом

  • Flugscheindetails.PDF.exe

детектируемый как Trojan-Downloader.Win32.Andromeda.ply (в январе этот троян занял 12-е место в топе вредоносных программ, распространяемых в почте).

Spam ot razlichnih servisov v janvare 2013

Также в январе были вредоносные письма, содержавшие якобы подписанный перечень заказанных товаров, а на самом деле это был вредоносный zip-архив с файлом

  • January Order.scr (файл детектируется как Trojan-Spy.Win32.Zbot.hviq).

January Order.scr


Фишинг

Доля фишинговых писем в почтовом потоке снизилась вдвое и составила 0,003%.

TOP 100 Raspred organizac atacovannih fisherami po kat v janvare 2013
TOP 100 Распределение организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг продуктов ЛК на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В январе-месяце произошли существенные изменения в лидирующей пятерке категорий организаций, атакованных фишерами:

  • Социальные сети - 39,62% (+9,71%);
  • Атаки на поисковики - 16,81% (+3,6%)
  • Финансовые и платежные организации - 12,94% (-7%);
  • IT-вендоров - 10% (+1,2%).
  • Онлайн-магазины и интернет-аукционы - 7,77% (-5,8%).

Фишеры продолжают использовать подделки под рассылки от популярных сервисов. Так в январе была зафиксирована новая волна фишинговых рассылок от имени известного сайта по бронированию отелей. На этот раз фишеры пытались выманить у пользователей данные кредитной карты.

В письме сообщалось, что введенные данные карты были отклонены. Если пользователь не введет правильные данные, то, согласно условиям резервирования, указанным на сайте, будет снята комиссия за отмену бронирования или предоплата. Казалось бы, постоянные клиенты сайта booking.com сразу должны понять, что это блеф, однако в отношении многих из них этот способ оказывается эффективным.

Fishing ot booking.com

Банковский фишинг по-прежнему очень распространен в интернете. Традиционное сообщение о превышении количества попыток входа в аккаунт и необходимости установки дополнительной защиты активно используется спамерами для направления пользователей на фишинговые страницы и кражи номеров и паролей кредитных карт клиентов. Вот одно из таких писем:

Primer bankovskogo fishinga

В данном письме, в отличие от приведенного выше письма от имени booking.com, в поле From копируется реальный адрес банка < Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript >;, что может помочь злоумышленникам ввести получателя письма в заблуждение.


Заключение

В январе общая доля спама уменьшилась, что объясняется новогодним затишьем в первые дни января. Однако уже в середине месяца появились рассылки, эксплуатирующие предстоящие праздники 8 марта, 23 февраля и день святого Валентина. Эти рассылки не так многочисленны, как предновогодние, но не уступают по разнообразию предлагаемых товаров и услуг.

Ежегодные спамерские "валентинки" — письма с вредоносными вложениями, замаскированные под открытки к празднику — в январе в спам-трафике отсутствовали. Традиционно пик рассылок вредоносных "валентинок" приходится на начало февраля.

Сохраняется тенденция к снижению в спам-потоках количества фишинговых и вредоносных писем, однако популярность сервисов по бронированию билетов и отелей по-прежнему активно используется злоумышленниками для кражи информации о платежных картах получателей.