Лаборатория Касперского: Цифры года или обзор спама за 2012 год


KasperskyLabs

Цифры года

  • Доля спама в почте в среднем составила - 72,1%
  • Доля фишинговых писем - 0,02% от всего почтового трафика
  • Доля писем с вредоносными вложениями - 3,4% почтового трафика.

 

Тенденции 2012 года

Снижение доли спама
По итогам 2012 года доля спама в среднем составила - 72,1% (- 8,2% по сравнению с 2011 годом).

Dolya spama v pochte za 2012

Доля спама в почтовом трафике за 2012 год

Средний процент спама за последние три года получился следующий:

  • 2012 год - 72,1%;
  • 2011 год - 80,3%;
  • 2010 год - 82,2%.


В результате получилось, что в 2012 году доля спама была самой низкой за последние 3 года.

По мнению экспертов, основной причиной уменьшения количества спама в почте, стало повышение общего уровня антиспам-защиты:

  • В настоящее время спам-фильтры стоят даже на бесплатной почтовой системе, а уровень детектирования спама, как правило, не ниже 98%.
  • Многие почтовые провайдеры ввели политику обязательной DKIM-подписи - цифровой подписи, верифицирующей домен, с которого пришло письмо.


За последние пару лет DKIM стала для почтовых провайдеров важным критерием, определяющим, доставлять ли письмо адресату. Поэтому злоумышленники стали подделывать DKIM-подписи. Это было возможно, т.к. многие компании использовали алгоритм шифрования подписи, актуальный на 2006 год, а зашифрованные в 2012 году с его помощью DKIM легко взламывались.

В этом году в журнале Wired была опубликована статья с описанием проблемы некриптостойкого шифрования DKIM-подписи. После данной публикации такие крупные компании, как Google, Yahoo и Microsoft, сменили шифрование подписи с помощью 512-битного ключа на более современное (с помощью 1024- или 2048-битного ключа). После этого подделка стала невозможной (по крайней мере, при нынешнем развитии вычислительных мощностей).

В результате принятых мер по усилению защиты от спама, количество спамовых писем, достигающих ящиков пользователей, сократилось до минимума. Это делает спам крайне неэффективным, поэтому заказчики спама мигрируют на другие платформы, и количество спама в почте стало заметено уменьшаться.


Легальная интернет-реклама как альтернатива спаму
Реклама на легальных рекламных площадках не вызывает раздражения у пользователей, получающих рекламные предложения, не блокируется спам-фильтрами, а рассылки направляются целевой аудитории, заведомо заинтересованной в покупке. Кроме того, в расчете на одного откликнувшегося пользователя, легальная реклама может быть значительно дешевле рекламы в спаме.

По результатам некоторых сторонних исследований было подсчитано, что при средней цене в 150 долларов за 1 млн. разосланных спам-сообщений итоговая CPC (cost per click - стоимость одного пользователя, прошедшего по рекламной ссылке в сообщении) составит минимум $4,45. Аналогичный показатель в социальной сети Facebook составит всего 0,1 доллара.

Исходя из вышеописанного можно сделать вывод, что легальная реклама эффективнее, чем спам. Это подтверждается тем, что классические для спама категории рекламы (такие как реклама реплик элитных товаров), переходят в социальные сети. Тому свидетельствуют некоторые соответствия: IP-адрес магазина, рекламируемого через Facebook, ранее был замечен в спаме.

Внимание рекламодателей привлек и еще один способ легальной рекламы в интернете — купонные сервисы. Сайты групповых скидок, где пользователям предлагаются так называемые купоны, появились несколько лет назад. Покупая купон, пользователь получает скидку на товар/услугу. В этом году купонные сервисы стали особенно популярными. В разных странах мира многие компании стремятся с их помощью расширить клиентскую базу, а клиенты, в свою очередь, получают выгодные предложения.

Рекламодатели, ранее пользовавшиеся услугами спамеров, также обратили свое внимание на купонные сервисы. Более 10% предложений на купонных сервисах относятся к категории "отдых и туризм", в то время как из спама эта рубрика практически исчезла. Именно благодаря популярности купонных сервисов процесс миграции рекламы из спама на другие площадки стал более заметным.

Популярность купонных сервисов отразилась и на спаме. Злоумышленники начали подделывать письма от крупных купонных сервисов, используя их для рекламы собственных товаров и услуг или для направления пользователя на вредоносный сайт.

Groupon Huge Local Detals

Миграция на легальные платформы возможна преимущественно для рекламы легальных товаров и услуг. Возможность такой миграции особенно актуальна для России и других восточноевропейских стран, в которых в спаме пока еще относительно много рекламы малого и среднего бизнеса. Однако, учитывая, что даже в этих странах основная часть спама — это реклама контрафактных товаров, мошенничество и вредоносные письма, количество спама в почте по-прежнему будет оставаться высоким.


Вредоносные письма и мошенничество в спаме
Ранее злоумышленники уже подделывали уведомления от хостингов, социальных сетей, служб доставки, сообщения от финансовых и государственных организаций. В 2012 году они расширили этот спектр. Появились подделки нотификаций различных авиакомпаний, сервисов заказов отелей и купонных сервисов.

Подобные письма-подделки могут содержать как вредоносные вложения в архиве, так и вредоносные ссылки.

Booking ConfirmationUSAIRWAYS

Схема атаки с использованием ссылок, одна и та же. Ничего не подозревающий пользователь нажимает на ссылку в письме, после чего он направляется на взломанный сайт со встроенным скриптом, в свою очередь перенаправляющим пользователя на вредоносный сайт с эксплойтами. Чаще всего использовались редиректы на Blackhole exploit pack, но встречались и другие наборы эксплойтов.

Также злоумышленники несколько раз пользовались официальной возможностью размещения контента на некоторых легитимных сайтах. В подделках под уведомления были обнаружены ссылки на сайты Wikipedia и Amazon. Злоумышленники использовали возможность создавать странички на данных ресурсах для размещения на них вредоносного контента. Однако, т.к. вредоносные странички удаляются с сайтов очень оперативно, то спам-рассылки с соответствующими ссылками еще не успевают распространиться. Поэтому такой способ не пользуется у злоумышленников большой популярностью.

Ссылки на другие легитимные ресурсы также были зафиксированы в спаме. Мошенники по-прежнему используют формы google.spreadsheets, чтобы воровать конфиденциальные данные пользователей (в основном логин и пароль от почтового ящика).

System Administrator

Среди методов социальной инженерии, используемых злоумышленниками, по-прежнему можно встретить подделки под личную переписку. Сделаны они зачастую очень грамотно. По содержанию догадаться о том, что письмо является спамом, довольно сложно. При проверке антивирусом файлов во вложенных архивах они детектируются как модификации различных вредоносных программ.

Lichnaya perepiska spam

Злоумышленники обычно маскируют в архивах исполняемые файлы (.exe) под различные офисные приложения:

Zamaskirovannii exe fail

Встречались подделки и под личную переписку, составленные с расчетом на то, что жадность спровоцирует получателя открыть файл в архиве. Например: пользователю якобы случайно попадает письмо с реквизитами Western.Union, по которым он якобы может получить некоторую сумму денег.

Western Union is of Viruses

Вместо реквизитов Western Union во вложенном архиве находился троян семейства Zbot.


Перераспределение источников спама

В распределении источников спама в 2012 году произошли серьезные изменения.

В 2012 году на первые места вышли:

  • Китай - 19,5%;
  • США - 15,6%.


Эти страны лидируют по количеству интернет-пользователей, причем с большим отрывом от остальных стран мира. Суммарно в США и Китае находится более 30% всех пользователей интернета. Поэтому, такие большие потенциальные мощности и заинтересовали организаторов ботнетов, которые стараются расширить сети зараженных машин.

Raspredelenie istochnikov spama po stranam za 2012
Распределение источников спама по странам за 2012 год

Процесс перераспределения источников распространения спама по странам шел в течение всего года. Изменился состав лидеров Азиатского региона. На первое место вырвался Китай, в то время как Индия, Индонезия и Южная Корея, сдали свои позиции.

TOP 10 Dinamika raspred ist spama po stranam za 2012
Динамика распределения источников спама по странам

Среди регионов, из которых рассылается спам, лидирует Азия - 50,2%. Таким образом, половина всей мусорной почты в мире рассылается из Азии.

Raspred ist spama po regionam za 2012
Распределение источников спама по регионам в 2012 году


Raspred ist spama po regionam za 2011
Распределение источников спама по регионам в 2011 году

Благодаря резко выросшему вкладу США в рассылку спама среди регионов, второе и третье места в рейтинге заняли:

  • Северная Америка - 15,8%;
  • Латинская Америка - 11,8%.

Dolya spama rassilaemaya iz Severnoi i Latinskoi Ameriki za 2012
Доля спама, рассылаемого из Северной и Латинской Америки за 2012 год

В 2012 году из Западной и Восточной Европы в сумме было разослано 15,1% спама, т.е. почти вдвое меньше, чем в 2011 году (30%).


Вредоносные вложения в почте

Доля писем с вредоносными вложениями понизилась незначительно и составила 3,4%. Этот показатель включает только письма с вредоносными вложениями, тогда как в почте распространяется и спам со ссылками на вредоносные сайты.

Наиболее распространенным вредоносным вложением в 2012 году были:

  • Trojan-Spy.HTML.Fraud.gen - лидер первых трех кварталов.
  • Trojan-Spy.Win32.Zbot.fsfe и Trojan-PSW.Win32.Tepfer.cfwf - лидеры четвертого квартала.


Эти три вредоносные программы созданы для кражи пользовательских аккаунтов (логина и пароля).

  • Fraud.gen и Zbot (ZeuS) - нацелены только на пароли от финансовых и платежных систем;
  • Tepfer - помимо финансовых и платежных систем ворует и другие пароли.

TOP 10 Vredonos prog v pochte v 2012
TOP 10 вредоносных программ в почте

На втором и третьем местах рейтинга оказались почтовые черви. Это связано с тем, что попав на компьютеры, они начинают активно распространять себя по адресам из адресных книг пользователей. Подобные черви особенно распространены в странах Азии, т.к. там люди чаще всего используют пиратское программное обеспечение и не обновляют антивирусные базы. Например, у червя Bagle помимо основного функционала, существует возможность устанавливать на зараженную машину различные программы.

Srabativanie pochtovogo anvir po stranam za 2012
Срабатывание почтового антивируса — распределение по странам

Наибольшее количество срабатываний почтового антивируса в 2012 году пришлось на:

  • США;
  • Германия;
  • Великобритания.


Доля писем с вредоносными вложениями, отправленных американским пользователям, выросла одновременно с увеличением доли распространяемого из США спама. Количество вредоносных писем, нацеленных на китайских пользователей, также увеличилось. Скорее всего, распространяемые таким образом зловреды, загружали на компьютеры пользователей спам-боты. В результате зараженные компьютеры попадали в ботнет и начинали рассылать спам.


Фишинг

TOP 100 Raspred po kat organizac atakovanih fisherami za 2012
TOP 100 организаций, атакованных фишерами. Распределение по категориям. 2012 год

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга продуктов ЛК на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В 2012 году чаще всего фишеры атаковали:

  • социальные сети - 24,5%;
  • финансовые организации - 22,9%;
  • онлайн-магазины и аукционы - 18,4%;
  • поисковые системы - 14,1%.

Raspred hostingov fishing saitov po stranam 2012
Распределение хостингов фишинговых сайтов по странам

В TOP 10 попали только страны с развитой экономикой.

Почти все страны из списка имеют развитые системы онлайн-банкинга, в них большое число пользователей социальных сетей. Именно социальные сети, финансовые и платежные системы чаще всего атакуют фишеры. Фишеры, как правило, пытаются сделать название своего поддельного сайта максимально похожим на название настоящего ресурса (к примеру, заменяют одну букву из названия настоящего сайта), чтобы пользователь не заметил, что попал на мошенническую страницу. Чтобы сайт действительно выглядел похожим, доменные зоны сайта-подделки и настоящего сайта тоже должны совпадать. Возможно, этим и объясняется такое распределение доменных зон.

Интересно, что США, Германия и Англия, в которых расположено больше всего фишинговых сайтов, также являются странами, в которых пользователям рассылается наибольшее количество писем с вредоносными вложениями.


Заключение

На протяжении всего 2012 года доля спама уменьшалась, в течение последнего квартала процент спама в почте не превышал 70%. Это можно объяснить постепенным уходом из спама рекламы легальных товаров и услуг на более удобные легальные платформы. В 2013 году ожидается, что уменьшение доли спама будет небольшим.

В 2012 году значительно возросла доля спама, рассылаемого из США и Китая. Очевидно, что спамеры хотят использовать мощные вычислительные ресурсы США и Китая и организуют в этих странах новые ботнеты.

Наиболее распространенными вредоносными программами в 2012 году стали программы, занимающиеся кражей логинов и паролей пользователей.
В первую очередь упор делался на логины и пароли к финансовым платежным аккаунтам.
Во-вторую - к аккаунтам социальных сетей, почты и других сервисов.