Обзор спама в августе 2012 года от Лаборатории Касперского


KasperskyLabsАвгуст в цифрах

  • Доля спама в почтовом трафике составила в среднем - 70,2% (-1,6% по сравнению с июлем).
  • Доля фишинговых писем в почтовом потоке составила - 0,01%.
  • Вредоносные файлы содержались - в 3,9% всех электронных сообщений.


Главные темы спама

Конец лета — самый опасный период
Летом в спам-бизнесе затишье. Заказчики спама менее активны, так как многим из них невыгодно тратить средства на рекламу своих товаров и услуг в сезон отпусков.

Спам в летний период значительно криминализируется, доля рекламы нелегальных товаров, распространяемых через партнерские программы, в нем растет, равно как и доля мошеннических сообщений и писем, содержащих вредоносный код. Одновременно спамеры усиленно рекламируют свои услуги и услуги других представителей киберпреступного бизнеса. В августе криминальная спам-активность достигает своего пика.


Рост доли вредоносных вложений
Доля вредоносных вложений в почте в августе составил — 3,9%.

Для распространения вредоносных вложений злоумышленники использовали большой набор уловок.

Новинкой в спамерском арсенале стал прием, который раньше использовали исключительно фишеры - спамеры угрожают пользователю блокированием банковской карточки, с целью заставить его скачать вложение, в котором якобы указаны подробности.

К недавним "находкам" спамеров относится рассылка поддельных уведомлений о бронировании гостиницы. Этот прием появился в июне и использовался в течение всех летних месяцев. В августе в почтовом трафике практически не было поддельных электронных билетов на рейсы различных авиакомпаний.

Также использовались и приманки, рассчитанные на тревожное любопытство пользователя. К ним относятся письма такого рода:

  • "Ваша транзакция прошла успешно. Подробности во вложении";
  • "Во вложении вы найдете отсканированный счет–фактуру".


На самом же деле во вложениях находились зловреды.

Без внимания не остались и старые приемчики, такие как электронные открытки, сообщения о не доставленной крупной почтовой компанией посылке или поддельные письма от Google о получении резюме от соискателя.


Использование легальных сервисов
Размещая свои материалы на легальных площадках, спамеры не могут не знать, что группы по разбору инцидентов реагируют быстро, после чего подозрительный контент удаляется. Однако, у легальных бесплатных сервисов множество достоинств. Они доступны и бесплатны абсолютно для всех, в том числе для спамеров. Используя ссылки на легальные ресурсы, проще обойти антиспам защиту, а пользователь меньше колеблется, проходя по ссылке, если она ведет на знакомую ему площадку.

В августе вновь отмечены фишинговые сообщения, основной спамерский контент которых находился на сервисе google.docs. Также стали рассылать свои сообщения с использованием Yahoo-календаря нигерийские спамеры.

Ssilka na legalnii servis


Реклама киберпреступников
В спам-потоках августа также встречались сообщения, рекламирующие услуги и других представителей киберкриминального бизнеса. Отметим рассылку с предложением заработать на обналичивании копий банковских карточек. Мошенники прибегают к услугам третьих лиц, чтобы снять в банкомате наличность по поддельным картам. Заработок, предлагаемый в спаме, часто именно в этом и заключается, но, как правило, открыто об этом в спам-письме не говорится.

Pismo s prosboi ob obnalichivanii

Часто встречались письма с предложениями купить базы адресов различных регионов - от европейских стран до Ирана. Можно предположить, что такие предложения косвенно свидетельствуют об экономических трудностях в сфере спам-бизнеса.


Политический спам
Если в Соединенных Штатах президент Барак Обама стал самой упоминаемой в спаме личностью, в России в политическом спаме настало затишье.

Несмотря на то что политическая жизнь России насыщена событиями, в спаме они не нашли отражения. Единственное августовское событие, которому была посвящена спамерская рассылка — выборы в Координационный совет протестного движения. Одно из политических объединений, чьи кандидаты баллотируются в Совет, разослало подробнейший манифест с информацией о том, за каких кандидатов и по какой причине должны проголосовать пользователи.

Также, для привлечения внимания имя действующего президента России было упомянуто в теме сообщения с рекламой реплик элитных часов. Интересно, что практически такая же рассылка распространялась и на английском языке с призывом купить "часы как у Обамы".

Kakie chasi nosit prezident


Статистический обзор

Страны — источники спама
В рейтинге стран — источников спама в русскоязычном сегменте интернета:

  • Индия - (+7,1%);

  • Вьетнам - (-0,15%).

Strani ist spama v rus segmente v avguste 2012

Страны — источники спама в русскоязычном сегменте интернета, август 2012 года


Германия, располагавшаяся по итогам июля на третьем месте, спустилась на восьмую позицию - (-2,7%). Корея и Китай - (по -0,3%) поднялись на более высокие позиции. Пятерку лидеров замкнула Индонезия - 3,8% спама(на 0,5% меньше, чем в прошлом месяце.

Вклад других стран в спам в русскоязычном сегменте интернета по сравнению с июлем изменился — в пределах 1%.

Доля спама в России - уменьшилась на 0,8%. Казахстан сместился с десятого на девятое  место.

В мировом масштабе лидерство среди стран — источников спама вернулось:

  • Китай - 31,5%;
  • США - 15,7%;
  • Индия - 12,4%.


Вредоносные вложения в почте
В августе вредоносные файлы содержались в 3,9% всех электронных сообщений (- 0,5% ниже показателя прошлого месяца).


Распределение срабатываний почтового антивируса по странам

Raspred srabat pochtovogo anvir po stanam v avguste 2012

Распределение срабатываний почтового антивируса по странам в августе 2012 года

В рейтинге стран по срабатыванию почтового антивируса уже восьмой месяц подряд лидируют США. Однако в августе доля срабатываний Kaspersky Mail Antivirus на территории этой страны уменьшилась почти на 3%.

Доля срабатываний нашего почтового антивируса на территории Германии практически не изменилась по сравнению с прошлым месяцем, и эта страна вновь занимает вторую строчку рейтинга.

Значительный рост доли срабатываний почтового антивируса на территории

  • Австралии - (+2,8%);
  • Вьетнама - (+2,4%).


Эти страны заняли четвертую и пятую строчки рейтинга соответственно, опередив Великобританию.

Изменения долей остальных стран рейтинга не превышают 1,5%.


ТОP 10 вредоносных программ, распространенных в почте

TOP 10 Vredonos prog v pochne 2012
ТОP 10 вредоносных программ, распространенных в почте в августе 2012 года

В августе доля детектирований почтовым антивирусом

  • Trojan-Spy.HTML.Fraud.gen - увеличилась более чем в полтора раза. Т.е., среди детектируемых вредоносных программ по итогам августа в почте стало в полтора раза больше сообщений с вложенными фишинговыми html-страницами, имитирующими регистрационные формы финансовых организаций или каких-либо онлайн-сервисов.

  • Email-Worm.Win32.Bagle.gt -почтовый червь, снабженный помимо стандартного функционала (сбор электронных адресов на зараженном компьютере и рассылка по ним самого себя) возможностью обращаться в интернет и загружать на компьютер пользователя другие вредоносные программы.

  • Mydoom.m и Mydoom.l — занимают четвертую и десятую строчки соответственно.


Программы семейства Androm по итогам августа буквально наводнили ТОР 10 самых детектируемых в почте вредоносных программ. Пять из представленных выше зловредов относятся именно к этому семейству. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы.


Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с июлем осталась неизменной и составила - 0,01%.

Raspred TOP 100 Organixac atac fisheraml v avkuste 2012
ТОП 100 организаций, атакованных фишерами, по категориям, август 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах Лаборатории Касперского на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

Рейтинг категорий атакованных фишерами организаций не изменился. Все чаще атакуются

  • Социальные сети - (+1%);
  • Финансовые организации - (+1,5%);
  • Интернет-магазины - (-1,5%).


Заключение

В августе спам был сильно криминализирован. Сентябрь в этом отношении обещает быть более спокойным. Восстановление бизнес-активности приведет к уменьшению числа партнерских, в том числе и вредоносных, рассылок.

Незначительные изменения в распределении долей фишинговых атак по итогам августа объясняются тем, что август является для фишеров переходным месяцем. С одной стороны, под их прицелом остаются школьники и студенты, проводящие во время каникул много времени в Сети, и соответственно, интерес фишеров к социальным сетям все еще высок. С другой стороны, к концу месяца начинает восстанавливаться деловая активность, и в фокусе внимания злоумышленников снова оказываются финансовые организации.

Предполагается, что в сентябре рост процента атак на банковский сектор продолжится, в то время как интерес фишеров к социальным сетям несколько упадет.