Май в цифрах или спам в мае 2012 года


KasperskyLabs

Май в цифрах

  • Доля спама в почтовом трафике по сравнению с апрелем уменьшилась на 3,4% и составила в среднем 73,8%.
  • Доля фишинговых писем в почтовом потоке по сравнению с апрелем осталась неизменной и составила 0,01%.
  • В мае вредоносные файлы содержались в 3,2% всех электронных сообщений, что на 0,4% выше показателя прошлого месяца.

Главные темы спама


Зловреды от "Почты России"
Начиная с лета 2009 года спамеры, распространяющие вредоносный код, пополнили свой арсенал трюков подделками под сообщения от почтовых сервисов DHL и UPS. В 2012 году фальшивых сообщений "от DHL" или "от UPS" в почтовом трафике меньше не стало. Мошеннические рассылки, предупреждающие о недоставке посылок этими крупными почтовыми компаниями, оказались очень эффективными с точки зрения социальной инженерии.

Ранее подделки под уведомления от DHL и UPS рассылались в основном на английском и изредка на немецком языках, и русскоязычная аудитория не была охвачена "посылочным" спамом. Это обусловлено тем, что большинство партнерских программ по распространению вредоносного кода платят деньги лишь за скачивания, произведенные в США или в Европе. Однако зловреды, цель которых русскоязычные пользователи, также существуют. В мае злоумышленники решили, что для рассылки вредоносного кода в этом сегменте интернета можно использовать уже обкатанный прием, немного преобразовав его.

Так появились сообщения, предупреждающие о доставке почтовых отправлений Почтой России. Пользователю предлагалось скачать вложенный инвойс и прийти с ним в ближайшее почтовое отделение. "Инвойс" детектируется антивирусом Касперского как Trojan.Win32.Generic.

Invois

Сразу должно броситься в глаза наличие в сообщении вложенного архива и несколько несоответствий:

  • адрес отправителя письма не имеет никакого отношения к Почте России;
  • в письме отсутствует личное обращение;
  • в "уведомлении" нет никаких адресов почтовых отделений или ссылок на сайт Почты России.


Однако, наблюдение за аналогичными англоязычными рассылками показывает, что со временем такие сообщения могут стать куда более правдоподобными.


Ложечку спама за папу и за маму
В мае и в июне один за другим следуют два международных семейных праздника – День Матери и День Отца. В разных странах они отмечаются в разное время, в большинстве стран это второе воскресенье мая и третье воскресенье июня.

Во многих странах Западной Европы, в Канаде и США День Матери 2012 отмечался 13 мая. День Матери – это второй после Дня Святого Валентина праздник, в преддверии которого активно распространяются рассылки партнерских программ по торговле цветами. Еще один традиционный вид сезонных партнерских программ распространяет в спаме рекламу подарков с символикой Дня Матери.

Den materi

В свою очередь распространителей "классического" партнерского спама, рекламирующие реплики элитных часов и аксессуаров,  больше их интересует День Отца. В этом году в большинстве стран Западной Европы и в Северной Америке этот праздник будут отмечать 17 июня, и спамеры уже в мае активно предлагали копии дорогих часов в качестве подарков для отцов и дедушек.

Den otca


Китайские поставки спама
В последние месяцы в спам-потоках довольно часто встречаются письма, предлагающие сотрудничесво с производителями различных товаров из Китая, либо с людьми, готовыми выступать в роли посредников в торговле с китайским производителем.

По форме эти письма напоминают инвестиционный нигерийский спам: короткий текст, сулящий очень прибыльное сотрудничество с представителем быстро развивающегося рынка, и электронный адрес, по которому заинтересованный клиент может выйти на связь.

Обычно в таких письмах не раскрывается, какого именно рода производство есть в распоряжении отправителя письма, или указываются абстрактные "предметы из пластмассы" или "текстиль". Однако в письме, полученном в мае от "китайского производителя" на связь с пользователем вышел "производитель носков".

Proizvodstvo noskov

Подобные сообщения смело можно отнести к новому виду мошенничества, развивающемуся на фоне усиления китайской экономики. Мошенники активно пользуются интересом инвесторов к китайскому рынку. Часто даже бизнесмены, целенаправленно ищущие контакты с производителями в Китае, встречаются с обманщиками, стремящимися получить инвесторские деньги "за воздух" и исчезнуть. Маловероятно, что при использовании мошенниками даже легальных источников информации, именно в спаме распространяется сообщение от честного китайского предпринимателя, который по какой-то причине не может найти инвестора.


Статистический обзор

Страны – источники спама
Рейтинг стран – источников спама в русскоязычном сегменте интернета (включая страны СНГ и Украину).

Strani - istochniki spama v rus segmente Interneta v mae 2012
Страны — источники спама, распространенного в русскоязычном сегменте интернета, май 2012 года

По итогам месяца почти одна пятая всего спама, адресованного пользователям русскоязычного сегмента интернета, разослана из Индии (19%). При этом в рейтинге общемировых источников спама Индия занимает второе место, а доля спама, распространенного с территории этой страны по всему миру - 11,9%.

На пятом и седьмом местах находятся Россия (3,5%) и Казахстан (3%).

Лидирующий по итогам месяца в общемировом рейтинге источников спама Китай, в русскоязычном сегменте интернета занял лишь шестую строчку. Из этой страны исходили всего 3,1% всех спам-сообщений, разосланных пользователям анализируемого региона.


Вредоносные вложения в почте
В мае вредоносные файлы содержались в 3,2% всех электронных сообщений, что на 0,4% выше показателя прошлого месяца.


Распределение срабатываний почтового антивируса по странам

Raspred srabat pochtovogo anvir po stranam v mae 2012
Распределение срабатываний почтового антивируса по странам в мае 2012 года

В мае доля срабатываний Kaspersky Mail Antivirus на территории:

  • США - (+0,68%);
  • Германии - (+6,1%);
  • Великобритании - (+1,9%);
  • Вьетнама - (-4,1%);
  • Италии - (+1%).
  • Австралии - (-3,9%);
  • Гонконге - (-3,4%).


При этом совокупная доля срабатываний почтового антивируса на территории Китая и Гонконга по итогам мая превысила 8,5%.

Изменения долей остальных стран рейтинга не превышают 2%.


ТОP 10 вредоносных программ, распространенных в почте

TOP 10 vredonos prog v pochte v mae 2012
ТОP 10 вредоносных программ, распространенных в почте в мае 2012 года

Доля детектирований Kaspersky Mail Antivirus, приходится на:

  • Trojan-Spy.HTML.Fraud.gen составила 8,8% всех срабатываний (-4,9%). Данная вредоносная программа выполнена в виде html-странички, подделанной под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.

  • Почтовые черви Mydoom.m, Bagle.gt и NetSky.q — занимают в рейтинге второе, четвертое и восьмое места соответственно. Функционал почтовых червей семейств Mydoom и Netsky ограничен сбором электронных адресов с зараженных машин и рассылкой по ним самих себя. Bagle.gt помимо этого может также обращаться к интернет-ресурсам для загрузки оттуда вредоносных программ. Интересно, что почтовые черви составляют подавляющее большинство вредоносных вложений, детектируемых в развивающихся странах.


В рейтинге, как и два месяца назад, зловреды семейства Fraudload. Это программы, загружающие на компьютер пользователя поддельные антивирусы, основной задачей которых является вымогательство денег у жертвы.


Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с апрелем осталась неизменной и составила 0,01%.

TOP 100 Organizac atak phisherami po kat v mae 2012
Распределение TOP 100 организаций, атакованных фишерами, по категориям май 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах Kaspersky на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В мае на первые места рейтинга категорий организаций, наиболее интересных фишерам, вновь вернулись:

  • финансовые организации - 24,5% (доля атак увеличилась по сравнению с апрелем на 0,9%);
  • социальные сети - 24,44% (по сравнению с апрелем уменьшилась почти на 4,5%).


На Facebook пришлось около 20% всех фининг-атак. Таким образом, Facebook по-прежнему остается одной из основных целей фишеров, хотя интерес злоумышленников к другим социальным сетям уменьшился.

Доля атак на онлайновые игры остается пока на прежнем уровне.

Существенно выросла по сравнению с апрелем (+2,1%) доля атак на организации категории "Онлайн — магазины, интернет — аукционы".

Все остальные изменения в рейтинге мишеней фишерских атак находятся в пределах 1,5%.


Тематические направления в спаме

Tematich kat spama v mae 2012
Тематические категории спама в мае 2012 года

Доля тематики

  • Образование — 28,6% (увеличилась по сравнению с апрелем на 3,1%);
  • Недвижимость - (-2,7%);
  • Услуги по ремонту и благоустройству - (-3,9%).


Несмотря на снижение показателей, в рейтинге эти тематики занимают третье и шестое места соответственно. Надо полагать, что доли этих тематик снова возрастут по итогам июня.

Показатели тематики "Отдых и путешествия" — несмотря на начавшийся сезон отпусков, продолжает снижаться и по итогам мая составляет 0,5% всего спама в Рунете.

В целом

  • Доля заказного спама в Рунете - превышает 55%;
  • Доля партнерского спама в Рунете - 29% (-3%).


Заключение

В последний весенний месяц доля спама в почтовом трафике заметно снизилась. Такое снижение может быть сезонным. И если это так, то доля спама продержится на низком уровне до августа. Однако возможно, что это явление системное, и вскоре процент спама в почтовом потоке упадет ниже показателя 70%. В абсолютных цифрах снижение доли спама на 3,4% — это очень серьезный спад, составляющий не менее 15% от общего количества спам-сообщений.

Ожидается, что с началом лета доля заказного спама в Рунете сократится. Одновременно увеличится доля рекламы услуг по ремонту и благоустройству и продажи недвижимости.

Нетрадиционно ведет себя в последние месяцы тематика "Отдых и путешествия". Неизвестно, увеличится ли доля таких рассылок в июне. С одной стороны, пора отпусков всегда являлась катализатором для такого спама, с другой — рассылки, предлагающие провести отпуск на море, традиционно становятся более активными уже в мае, чего не произошло в этом году.

Несмотря на то, что социальные сети уступили главенствующую позицию финансовым организациям, около 20% всех фишинговых атак нацелены на пользователей Facebook. Кроме того, для фишеров летний период школьных и студенческих каникул, вероятно, связан не только с ростом активности пользователей онлайн-игр и социальных сетей, но и с увеличением оборота интернет-магазинов. По крайней мере, в мае наиболее заметно увеличилась доля фишинговых атак именно на этот сектор.