Спам в третьем квартале 2012 года. Отчет Лаборатории Касперского


KasperskyLabs

Цифры квартала

  • Доля спама в третьем квартале - 71,5% (- 2,8%).
  • Доля писем с вредоносными вложениями - 3,9% (+ 0,9%).
  • Фишинговые атаки на социальные сети - 27%.
  • Всего спама было отправлено из США - 26,7%.

Особенности периода: политика и религия в спаме

Самая популярная личность в спаме третьего квартала 2012 - американский президент Барак Обама. Его имя упоминалось в письмах на самые разные темы: от рекламы "часов как у президента" до разоблачения президентской администрации и призывов к американским гражданам бороться с политикой действующего президента (в таких призывах содержались также просьбы пожертвовать деньги на эту борьбу). Были замечены также мошеннические и вредоносные рассылки, использующие имя президента США.

Began to buy probably a watch as at Barack Obama Obamas Fake Statistiks Obama releases fre grant money

К концу сентября количество англоязычных рассылок, призывающих американских граждан сменить политический курс страны, увеличилось. Видимо, сказалось начало предвыборной гонки. Выборы президента США пройдут 6 ноября 2012 г. В сообщениях встречалась и критика деятельности Барака Обамы, и призывы голосовать за другого кандидата — Митта Ромни.

Obama cant but I will

Стоит отметить, что в США под юрисдикцию закона против спама (CAN-SPAM Act 2003) подпадают только коммерческие рассылки (рекламного характера), политические же массовые письма законодательно спамом не считаются.

В мошеннических письмах можно было увидеть не только имя президента США, но и имя его жены, Мишель Обамы. Рассылая письма от имени первой леди, нигерийские мошенники пытались втереться в доверие к пользователям. В письме "Мишель Обама" обещает миллионы долларов тем, кто пришлет "ей" свои адреса, номера телефонов и 240 долларов.

Good Day I am Mrs Michelle Obama

Также в этом квартале наблюдался и религиозный спам. Именно в спаме распространялись ссылки на размещенный на сайте YouTube ролик со скандально известным фильмом "Невинность мусульман". Обычно злоумышленники просто эксплуатируют интерес пользователя к горячим темам и ссылки в подобных письмах ведут на вредоносные ресурсы. Однако в данном случае ссылки в письмах действительно вели на ролик на YouTube, никакие вредоносные программы c помощью этой рассылки не распространялись.

Innocence of Muslims

Тем не менее, некоторые злоумышленники все-таки воспользовались скандалом вокруг фильма в своих целях, разослав вредоносные письма в стиле горячих новостей:

Western embassies edgy as Muslim

Ссылки в письмах вели на взломанный сайт с дальнейшей переадресацией на вредоносный ресурс pillsearnings.nl. На этот же ресурс вела и ссылка в другой части той же рассылки использующей имя американского президента и тему выборов:

Obama Romney use humor into connect


Новые рекламные площадки: плюсы и минусы

Уменьшение доли спама
В прошлом квартале реклама мигрировала из спама на другие площадки: баннеры, социальные сети, контекстную рекламу, купонные сервисы. В третьем квартале эта тенденция сохранилась, и доля спама в почтовом трафике сократилась еще на 2,8%.

Doly spama v pochte v IIIkv 2012

Характерное для лета уменьшение доли спама и небольшой рост этого показателя в сентябре. Осенью такой рост наблюдается почти каждый год. Заканчиваются отпуска, люди больше времени проводят в интернете, и рекламодатели пытаются дать больше рекламы, в том числе в спаме. И все же отчетливо видна общая тенденция к уменьшению доли спама.


"Серые зоны" рассылок
В последнее время в Сети появилось много разнообразных купонных (скидочных) сервисов — интернет-проектов, предоставляющих пользователям так называемые коллективные скидки. Такие сервисы пользуются спросом во всем мире и оттягивают рекламодателей из спама. С одной стороны, это положительный процесс. С другой стороны, не все такие сервисы рассылают собственную рекламу корректно с точки зрения закона. В результате возникают так называемые "серые зоны" рассылок.

Некоторые купонные сервисы рассылают спам, с целью раскрутить себя и привлекать новых клиентов, для чего часть рассылок идет подписчикам, и по гораздо более широкой базе адресов. Если получатель не подписывался на рассылку, она является спамом, даже если помимо прямой рекламы товара она содержит новости, статьи по теме и любую другую релевантную информацию.


Вредоносные подделки под сообщения купонных сервисов
Возрастающую популярность новых легальных рекламных площадок спамеры используют в своих целях. В первую очередь, рассылая вредоносные письма, подделанные под различные официальные уведомления. Все больше становится вредоносного спама — подделок под уведомления купонных сервисов. Например, появление в спам-потоках вредоносных рассылок — подделок под сообщения от крупнейшего купонного сервиса Groupon.

Поскольку купоны очень популярны у пользователей, а купонные сервисы пользуются их доверием, поэтому следовало ожидать появления такого спама. Письма от купонных сервисов — идеальная маскировка для рассылки зловредов.

Первая зафиксированная подобная рассылка прошла в июле. Тогда к сообщению, имитирующему уведомление о новой акции крупнейшего купонного сервиса, был приложен zip-архив, содержащий исполняемый файл

  • Gift coupon.exe


На деле файл был вредоносной программой

  • Trojan.Win32.Yakes.aigd


Все ссылки в письмах с вредоносными вложениями вели на сайт Groupon, на котором никаких опасных объектов не было. Очевидно, это был трюк, использованный злоумышленниками, чтобы вызвать доверие пользователя.

Совсем иная ситуация с вредоносными сообщениями, зафиксированными в сентябре. В новой рассылке якобы от Groupon не было вложений, однако все ссылки через несколько переадресаций вели на вредоносный ресурс с эксплойтами.

Groupon Huge Local Deals

Появление вредоносного спама, использующего тему купонов, было вполне ожидаемо, поскольку такие сервисы пользуются большой популярностью. В связи с этим хотелось бы предупредить пользователей:

  • Во-первых. Купонные сервисы никогда не вкладывают файлы-вложения в свои письма, особенно в виде zip-архивов или исполняемых файлов.
  • Во-вторых. Пользователь, прежде чем перейти по ссылке в письме, всегда может и должен убедиться, что письмо, выдаваемое за рассылку известного сервиса, хотя бы имеет соответствующего отправителя в поле from, и все ссылки ведут именно туда, куда заявлено.


Вредоносные рассылки: разнообразие

В этом квартале мы наблюдается огромное разнообразие вредоносных рассылок. Практически все они маскировались под официальные уведомления. В спам-потоках встречались поддельные письма от:

  • хостингов;
  • банковских систем;
  • социальных сетей;
  • онлайн-магазинов;
  • других сервисов.

Order iTunes

Если в прошлом квартале наибольшей популярностью у злоумышленников пользовались уведомления о приобретении авиабилетов, то в этом чаще встречались поддельные уведомления о бронировании гостиниц.

Reservation Confirmation

В некоторых случаях злоумышленники объединяли два приема социальной инженерии - чтобы заставить пользователя пройти по ссылке, в поддельных уведомлениях популярного ресурса упоминался некий приз:

Mania spam

При таком количестве и качестве подделок с вредоносными ссылками пользователям следует быть еще более внимательными, любое письмо может оказаться опасным!


Статистика

Вредоносные вложения в почте
По итогам квартала средний процент писем, содержавших вредоносные вложения, составил - 3,9%(+ 0,9% по сравнению с предыдущим кварталом).

Dolya vredonos vlojenii v pochte IIIkv 2012
Доля вредоносных вложений в почтовом трафике
Третий квартал 2012 года

Распределение срабатываний почтового антивируса по странам
Самым заметным изменением в рейтинге стран по срабатыванию почтового антивируса по итогам третьего квартала, бесспорно, является выход на первое место Германии - (+3,8%).

Raspred srabativanii pochtovogo anvir po stranam v IIIkv 2012
Распределение срабатываний почтового антивируса по странам
Третий квартал 2012 года

США - лидер в этом рейтинге восемь месяцев подряд, в сентябре сместились сразу на восьмую строчку. По сравнению с прошлым кварталом доля США уменьшилась на 5,2 пункта, и заняли вторую строчку.

На 1,7 пунктов снизилась доля Великобритании, на 1,6 пунктов — Италии. Изменения долей остальных стран рейтинга не превышают 1,5%.

На протяжении всего квартала показатели по рассылки вредоносного кода на территории Вьетнама и Австралии - практически совпадали.

Dolya vredonos spama vAvstralii i Vetname IIIkv 2012
Доля вредоносного спама в Австралии и во Вьетнаме
Третий квартал 2012 года


ТОP 10 вредоносных программ, распространенных в почте

TOP 10 Vredonos prog v pochte IIIkv 2012
ТОP 10 вредоносных программ, распространенных в почте
Третий квартал 2012 года

По результатам квартала лидирующие места по детектированию почтовым антивирусом заняли:

  • Trojan-Spy.HTML.Fraud.gen - 21,89%. Вредоносная программа, выполненная в виде html-странички с регистрационной формой финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. Использование этого зловреда является одним из приемов фишеров.

  • Почтовые черви Bagle.gt, Mydoom.m и Mydoom.l. Занимают в рейтинге второе, третье и четвертое места. Стандартный функционал почтовых червей заключается в сборе электронных адресов на зараженном компьютере и рассылке по ним самих себя. Bagle.gt — единственный из подобных зловредов, снабженный дополнительным функционалом - он может обращаться к интернету и загружать на компьютер пользователя другие вредоносные программы.

  • Androm.kv. По итогам третьего квартала эта модификация оказалась на пятой строчке рейтинга. Зловреды этого семейства, установившись в систему пользователя, загружают из интернета другие вредоносные программы, в том числе спам-боты.

  • Почтовый червь Netsky.q — он занимает шестую строчку рейтинга.

  • Trojan-Ransom.Win32.PornoAsset.aauh. Седьмое место в рейтинге. Это программа-вымогатель, блокирующая операционную систему и требующая у пользователя заплатить за разблокирование.


Размер спамовых писем

Razmer spamovih pisem IIIkv 2012
Размер спамовых писем. Третий квартал 2012 года

В третьем квартале 2012 года, как обычно, в спаме преобладали очень короткие письма (1 КБ и меньше). Как правило, в теле таких писем находится одна короткая фраза и ссылка на сайт, куда по замыслу спамеров, должен попасть пользователь. В сентябре отмечено увеличение количества чуть более объемных писем (2-5 КБ). Это связано с увеличением количества заказного спама малого и среднего бизнеса осенью. Такой спам содержит больше информации в теле письма. Партнерский спам непременно должен содержать ссылку, так как доход спамера зависит от количества пользователей, прошедших по разосланной им ссылке.


Распределение источников спама по странам и регионам
В третьем квартале существенно выросла доля спам-писем, разосланных из

  • Китая -(+6,7%);
  • США - (+15%).


Суммарно эти две страны ответственны более чем за половину мирового спама.

Доля остальных стран уменьшилась относительно пропорционально.

Strani ist spama IIIkv 2012
Страны — источники спама. Третий квартал 2012 года

Спам рассылался в основном:

  • из Китая - в страны APAC и в Западную Европу;
  • из США - активно распространялся по Американскому континенту и также по странам APAC;
  • из Вьетнама - в страны Восточной Европы;
  • из Индии - в Западную Европу, где эта страна заняла второе место в рейтинге стран — источников спама.


За счет США значительно выросла доля региона Северная Америка (+15%), при этом доля Азии по-прежнему высока - почти половина спама рассылается с компьютеров, находящихся в этом регионе. Западная Европа обогнала Восточную и вышла на четвертое место, приблизившись по показателям к Латинской Америке.

Raspred ist spama po regionam IIIkv 2012
Распределение источников спама по регионам
Третий квартал 2012 года


Фишинг

Raspred TOP 100 organizacii atakovanih fisherami po kategoriyam IIIkv 2012
Распределение TOP 100 организаций, атакованных фишерами по категориям
Третий квартал 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга продуктов Лаборатории Касперского на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

По итогам квартала в распределении фишинговых атак по категориям лидируют:

  • социальные сети - 26,5% атак (+ 0,6% больше, чем в предыдущем квартале);
  • финансовые организации — 22% атак (- 1,6% чем в прошлом квартале).


Несмотря на небольшую долю фишинговых атак на онлайн-игры, на протяжении всего квартала регистрировались рассылки, целью которых была кража регистрационных данных пользователей battle.net. Можно предположить, что недавний выход WoW - Mists of Pandaria подогреет интерес фишеров к аккаунтам в играх компании Blizzards.


Заключение и прогнозы

В третьем квартале 2012 наблюдалось множество рассылок политической направленности. Очевидно, вплоть до выборов американского президента 6 ноября их количество будет расти. Вероятно, вырастет и количество вредоносных рассылок, эксплуатирующих интерес пользователей к теме выборов.

Миграция рекламодателей из спама на другие площадки способствует тому, что спам становится более криминализированным, с большим количеством рекламы запрещенных товаров, мошенничества и вредоносных писем. В течение последнего года наблюдалось две параллельные тенденции - снижение доли спама и небольшое увеличение доли вредоносных рассылок. Скорее всего, обе тенденции продолжатся, так как доля спама снижается за счет ухода из спама рекламодателей, предлагающих честные товары и услуги.

Что касается стран — источников спама, то значительно возросшая доля США, скорее всего, не продержится на таком высоком уровне и в следующем квартале несколько снизится. Азия же останется регионом, из которого рассылается наибольшее количество спама.