Odsetek spamu w ruchu e-mail zwiększył się o 2,2 punktu procentowego w porównaniu z marcem i wynosił średnio 77,2%.

Celem ponad 20% ataków phishingowych w kwietniu byli użytkownicy Facebooka.

Nowe triki zidentyfikowane w oszukańczym i szkodliwym spamie

Spamerzy rozprzestrzeniający szkodliwy kod oraz wiadomości phishingowe nadal szukają najszybszego sposobu dotarcia do użytkowników komputerów. Szkodliwy spam rozwija się w szybkim tempie, a cyberprzestępcy systematycznie wzbogacają arsenał swoich sztuczek, dodając zarówno innowacje techniczne, jak i nowe triki wykorzystujące socjotechnikę.

Wikipedia i Amazon

W kwietniu eksperci z Kaspersky Lab wykryli SPAM, który na pierwszy rzut oka wyglądał jak typowa szkodliwa wysyłka masowa rozprzestrzeniana pod przykrywką powiadomienia z Facebooka. Wiadomość e-mail, rzekomo pochodząca z popularnego portalu społecznościowego, stanowiła prośbę o przyjęcie zaproszenia do grona znajomych na Facebooku. Jak większość wiadomości e-mail, które mają wyglądać jak oficjalne powiadomienia z Facebooka, wysyłka ta została dobrze przygotowana i na pierwszy rzut oka do złudzenia przypominała prawdziwą. Według planu spamerów, gdyby użytkownik kliknął którykolwiek z zawartych w e-mailu odsyłaczy, zamiast trafić na Facebooka, zostałby przekierowany na stronę internetową zainfekowaną szkodliwym kodem. Brzmi znajomo, prawda? Jedyna różnica polega na tym, że odsyłacze w wiadomościach e-mail nie prowadziły użytkowników do zhakowanych domen lub stron zarejestrowanych w domenach .in lub co.cc, ale na strony Wikipedii lub Amazona.

Źródło: Kaspersky Lab

Cyberprzestępcy prawdopodobnie zaszyli szkodliwy skrypt na utworzonych przez siebie stronach Wikipedii, jak również na stronach mających przypominać reklamy używanych produktów na Amazon.com. Dlaczego „prawdopodobnie”? Dlatego że taktyka ta nie była szczególnie skuteczna, ponieważ oba serwisy wykazały się szybką reakcją i zanim odsyłacze zostały rozprzestrzenione, strony zostały już wyłączone.

Diablo III przedpremierowy phishing

Niedawno na półkach sklepowych pojawiła się długo oczekiwana gra Diablo III. Eksperci ds. bezpieczeństwa IT wyrażają obawy związane z tą grą, a Blizzard oficjalnie zezwolił na handel związanymi z nią przedmiotami. Rozsądnie jest zakładać, że Gracze szybko znajdą się na celowniku phisherów. Nikt jednak nie oczekiwał, że szkodliwi użytkownicy zaczną wykorzystywać tę grę jeszcze przed jej premierą.

W ruchu spamowym pojawiły się wiadomości phishingowe żerujące na niecierpliwości graczy, którzy nie mogli doczekać się premiery Diablo III. Odbiorcom wiadomości obiecywano możliwość grania w wersję beta Diablo III przez określony czas. W tym celu jednak będą musieli podać swoje dane dotyczące konta battle.net (zasób, w którym przechowywane są informacje dotyczące konta na platformie firmy Blizzard). Naturalnie, zawarty w mailu odsyłacz nie prowadził do wskazywanej strony, ale do strony phishingowej. E-maile różniły się od siebie, jednak podstawowe cechy były zasadniczo takie same.

Źródło: Kaspersky Lab

Po zdobyciu danych rejestracyjnych użytkownika battle.net szkodliwi użytkownicy mieli dostęp do jego kont dla popularnych gier, takich jak World of Warcraft oraz Starcraft, które wciąż cieszą się dużym popytem na czarnym rynku.

Spam polityczny

W kwietniu do akcji ponownie wkroczył spam polityczny, którego ofiary stanowili głównie czytelnicy ze Stanów Zjednoczonych i Francji. Wzmianki o Baracku Obamie pojawiały się w wiadomościach e-mail równie często jak w pierwszym roku po wyborach. Co więcej, nazwisko Obamy jest wykorzystywane nie tylko w mailach politycznych „obnażających kierunek jego polityki” lub zawierających zarzut, że prezydent Stanów Zjednoczonych „boi się przegrać w nadchodzących wyborach”, ale również w wiadomościach reklamujących cały wachlarz tradycyjnych produktów spamerów. Przykładem może być pojawienie się jego nazwiska w masowej wysyłce spamowej oferującej Viagrę.

Wraz ze zbliżającymi się wyborami w Stanach Zjednoczonych zainteresowanie użytkowników Internetu wyścigiem o fotel prezydenta oraz sylwetkami kandydatów, jak również obecnym prezydentem, może jedynie wzrosnąć. Spamerzy bez wątpienia będą próbowali podsycać płomień tego zainteresowania poprzez szerzenie propagandy, jak również wykorzystywać je do własnych celów. W nadchodzących miesiącach spodziewamy się wzrostu liczby wiadomości e-mail zawierających odsyłacze, które rzekomo prowadzą do stron internetowych prezentujących skandaliczne informacje o kandydatach i o wyborach. W najlepszym razie (tak, jak w przykładzie powyżej) odsyłacze doprowadzą użytkowników do reklam specyfików na zwiększenie libido, w najgorszym natomiast - do szkodliwego programu.

Zaobserwowano aktywność francuskiego spamu politycznego, mimo że w związku z niedawnymi wyborami we Francji spodziewaliśmy się większej liczby politycznych wiadomości spamowych w tym kraju. Wykryte przez nas wiadomości spamowe nie były liczne. Obejmowały reklamy koszulek z hasłami popierającymi Sarkozy’ego.

Źródła spamu

Źródło: Kaspersky Lab

Najbardziej zauważalna zmiana to awans Stanów Zjednoczonych z 20 na 2 miejsce w rankingu. Odsetek spamu pochodzącego ze Stanów Zjednoczonych zwiększył się o ponad 7 punktów procentowych. Wzrosła również ilość spamu pochodzącego z Chin – o 5 punktów procentowych – i państwo to znajduje się obecnie na 5 miejscu listy największych źródeł spamu na świecie. Z kolei odsetek niechcianej korespondencji pochodzącej z Indonezji zmniejszył się o 5,2 proc. To azjatyckie państwo odnotowało spadek o 10 miejsc i ostatecznie uplasowało się na 12 miejscu.

Prawdopodobnie - jak przypuszczają eksperci Kaspersky Lab obserwowana zmiana w krajobrazie spamu ma związek z redystrybucją prowadzonych przez spamerów botnetów oraz przenoszeniem ich z regionów, w których biznes spamowy znajdował się w minionym roku na niskim poziomie. Warto zauważyć, że zarówno Stany Zjednoczone jak i Chiny (a w szczególności Hong Kong) stanowiły jedne z głównych celów spamerów rozprzestrzeniających szkodliwe wysyłki w pierwszym kwartale 2012 r. Infekowanie nowych komputerów w tych państwach najwyraźniej doprowadziło do wzrostu liczby nowych botnetów.

Spam z Polski

W porównaniu z marcem Polska awansowała z 18 na 11 miejsce rankingu. W kwietniu 2012 r. z Polski pochodziło 2,1% globalnego spamu.

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem wiadomości e-mail

Źródło: Kaspersky Lab

Około 13,7% wszystkich szkodliwych programów wykrytych w wiadomościach e-mail przez oprogramowanie firmy Kaspersky Lab stanowił tradycyjny lider naszego rankingu Top 10: Trojan-Spy.HTML.Fraud.gen. W kwietniu liczba wykrytych trojanów o tej nazwie była o 1,6 punktu procentowego wyższa niż w marcu. Szkodnik ten został stworzony w taki sposób, żeby wyglądał jak strona HTML stanowiąca formularz rejestracyjny organizacji finansowej lub serwisu online. Dane rejestracyjne wprowadzane na tej stronie są następnie wysyłane szkodliwym użytkownikom.

Robaki pocztowe: Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m oraz Email-Worm.Win32.NetSky.q – znalazły się na trzecim, piątym i dziewiątym miejscu kwietniowego rankingu. Czytelnicy być może przypominają sobie, że funkcje robaków z rodziny Mydoom i Netsky ograniczają się do gromadzenia adresów e-mail z zainfekowanych komputerów oraz wysyłania na nie swoich kopii. Bagle.gt jest jedynym robakiem z pierwszej 10, który potrafi wysyłać żądania do zasobów online, a następnie pobierać szkodliwe programy.

Warto wspomnieć o pojawieniu się trojana skryptowego Trojan-Downloader.JS.Iframe.cvq w pierwszej dziesiątce kwietniowego zestawienia. Trojan ten stanowił prawie 2% wszystkich szkodliwych programów wykrytych w wiadomościach e-mail. Około 10% wszystkich szkodników wykrytych w ruchu pocztowym w kwietniu stanowiły szkodliwe programy oparte na skryptach, wykryte przy użyciu metod proaktywnych. Jest to dość niepokojący fakt, zważywszy że zagrożenia oparte na skryptach zawarte w wiadomościach HTML rozpoczynają destrukcyjne działania, jak tylko odbiorca otworzy wiadomość e-mail.

Phishing

Odsetek wiadomości phishingowych pozostał niezmieniony w stosunku do marca i wynosił 0,01%.

Źródło: Kaspersky Lab

Ranking ten został stworzony na podstawie wyników modułu antyphishingowego aktywowanego w produktach Kaspersky Lab za każdym razem gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

W kwietniu odnotowano poważną zmianę na liście organizacji najczęściej atakowanych przez phisherów: po raz pierwszy od czterech miesięcy z pierwszej pozycji zniknęły organizacje finansowe (23,61%), które zostały zastąpione przez portale społecznościowe (28,8%). Odsetek portali społecznościowych będących celem ataków phishingowych zwiększył się o prawie 6 punktów procentowych. Podstawowym powodem tego wzrostu była duża liczba ataków na Facebooka: użytkownicy tego portalu społecznościowego byli celem ponad 20% ataków phishingowych w kwietniu.

W porównaniu z marcem, odsetek ataków na organizacje finansowe zmniejszył się, podobnie jak odsetek ataków na sklepy internetowe oraz wyszukiwarki, producentów z branży IT i organizacje z kategorii „inne”. Wszystkie te zmiany mieściły się w granicach 1,5 punktu procentowego.

Spam według kategorii

Źródło: Kaspersky Lab

W kwietniu odsetek tradycyjnych liderów wśród najpopularniejszych kategorii spamu – Oszustwa komputerowe i Finanse osobiste – zmienił się tylko nieznacznie. Pierwsza kategoria odnotowała spadek o 2,2 punktu procentowego, druga - wzrost o 0,8 punktu procentowego.

Udział reklam kasyn online pozostał na wysokim poziomie - nieco ponad 6%.

Większość wiadomości spamowych reklamujących kasyna online zawiera wyraźne znamiona oszustwa, szkodliwego kodu lub innego zagrożenia. Kategoria „Finanse osobiste” często składa się z podejrzanych ofert uzyskania tanich kredytów lub szybkiej gotówki, które zwykle budzą wątpliwości.

Na podstawie analizy tych danych można stwierdzić, że ponad połowa całego kwietniowego spamu miała na celu kradzież finansowych lub osobistych informacji użytkowników komputerów, jak również pośrednią kradzież ich pieniędzy i instalację szkodliwego kodu na ich komputerach.

Najistotniejszą zmianą, jaką zaobserwowaliśmy w okresie od marca do kwietnia, był 4,75% wzrost odnotowany przez kategorię „Wystrój wnętrz”. W kwietniu Kaspersky Lab zidentyfikował kilka masowych wysyłek z tej kategorii. Najwidoczniej wzrost ilości tego rodzaju spamu jest związany z kampaniami reklamowymi „wiosenne porządki” prowadzonymi przez wiele firm z branży meblarskiej i renowacyjnej.

W kwietniu odsetek pozostałych kategorii spamu wahał się tylko nieznacznie, w granicach 1,5 punktu procentowego.

Wnioski

Warto wspomnieć, że spam stanowi obecnie większe zagrożenie niż kiedykolwiek wcześniej: Kaspersky Lab wykrywa dużą liczbę wiadomości spamowych zawierających szkodliwe odsyłacze. Co więcej, specjaliści ds. bezpieczeństwa IT odnotowują jeszcze więcej spamu zawierającego zagrożenia skryptowe, co oznacza, że samo otworzenie e-maila może narazić użytkownika na ryzyko. Fakt, że wiadomości te nadal rozprzestrzeniają się, świadczy o tym, że użytkownicy Internetu nie są wystarczająco dobrze poinformowani; spam nie stanowiłby tak atrakcyjnego sposobu rozprzestrzeniania szkodliwego kodu, gdyby nie był tak lukratywny dla cyberprzestępców. Użytkownicy Internetu często nawet nie podejrzewają, że ich aktywność komputerowa wiąże się z jakimkolwiek ryzykiem, nie mówiąc już o zagrożeniu ich danych osobowych czy pieniędzy, w przypadku otworzenia wiadomości spamowej”.

W nadchodzących miesiącach spodziewamy się powrotu dobrze znanych wysyłek spamowych zawierających skandaliczne doniesienia na temat obecnego prezydenta Stanów Zjednoczonych, Baracka Obamy. Co więcej, ataki phishingowe prawdopodobnie w większym stopniu skoncentrują się na portalach społecznościowych i grach online – wraz ze zbliżającymi się letnimi wakacjami studenci, którzy mają przerwę od szkoły, będą aktywniejsi online. Ponieważ użytkownicy z tej kategorii nie posiadają konta w banku, wiele czasu spędzają na portalach społecznościowych i innych serwisach oferujących rozrywkę online.

Źródło: Kaspersky Lab