- цифри року Частка спаму в 2013 році склала 69,6%, що на 2,5% нижче, ніж у 2012 році Частка листів...
- сірі розсилки
- Тренд 2013: підробки під листи від антивірусних компаній
- Світові події в спам
- Статистика
- Розподіл джерел спаму по країнам
- Регіони - джерела спаму
- Розмір спамових листів
- Шкідливі вкладення в пошті
- фішинг
- Висновок і прогнози
цифри року - Частка спаму в 2013 році склала 69,6%, що на 2,5% нижче, ніж у 2012 році
- Частка листів зі шкідливими вкладеннями склала 3,2% - на 0,2% менше, ніж у 2012 році
- 32,1% фішингових атак були спрямовані на соціальні мережі
- Найбільша кількість спаму - 23% - було відправлено з Китаю
- 74,5% розісланих спам-листів мали розмір не більше 1 Кб
Міграція з спаму реклами легальних товарів і послуг
Криміналізація спаму комерційного характеру
У минулому році ми писали, що кількість спаму, який рекламує легітимні товари і послуги, поступово зменшується. Рекламодавці все частіше вважають за краще спаму чесну рекламу, різних видів якої в інтернеті стає все більше, при цьому відгуків на таку рекламу більше, а ціна її нижче, ніж у спам-реклами.
При цьому в спам деяких категорій комерційна реклама поступово витісняється криміналізованими розсилками. Характерний приклад - «Відпочинок і подорожі». Раніше спам цієї категорії становив 5-10% всього спам-потоку і повністю складався з різних пропозицій поїздок, турів і квитків. Зараз подібна комерційна реклама в спам зустрічається рідко, однак ми бачимо безліч шкідливих листів, які експлуатують тему туризму та відпочинку.
Підробки під повідомлення про заброньованому номері готелю або купленому квитку на літак - вже звична складова спаму, ми спостерігали подібні розсилки протягом всього року. У доданому файлі в таких листах замість підтвердження броні знаходиться шкідлива програма (зокрема, Trojan-PSW.Win32.Tepfer і Backdoor.Win32.Androm.qt).
В цьому році до шкідливих розсилок повідомлень, що імітують підтвердження про бронювання квитків і готелів, додалися розсилки про заброньовані круїзи.
Листи в таких розсилках аналогічні підробкам про квитки і готелі: безособове звернення, повідомлення про готової броні, вкладення з шкідливою програмою.
Таким чином, якщо ще пару років тому спам дійсно міг зорієнтувати в покупці туру, квитка або номера в готелі, то нинішній спам з великою ймовірністю запропонує користувачеві не рекламу відпочинку, а з шкідливу програму.
Крім розповсюджувачів шкідливих програм, на тему подорожей звернули увагу і шахраї. У 2013 році ми зафіксували кілька розсилок, що використовують спам даної тематики для відмивання грошей з вкрадених кредитних карт. Спамові листи були розіслані з розрахунком на те, що якісь з них прийдуть на адреси готелів, і містили прохання забронювати номер.
Якщо співробітник готелю відповідав на повідомлення, спамери просили зняти з картки гроші, сума яких істотно перевищувала оплату броні (іноді це прохання містилася вже в першому листі). Різницю шахраї просили вислати на вказаний ними адресу через Western Union. Аргументували вони своє прохання тим, що цю частину грошей отримає турагент, який організовує поїздку. При цьому автори листів придумували різноманітні пояснення того, чому турагентство не може зняти гроші з їх кредитки, а самі вони не можуть переслати гроші перекладом. Через деякий час шахраї скасовували бронь готелю і отримували другу частину грошей (вже «чистих»).
сірі розсилки
Інша проблема пов'язана з тим, що з одного боку, рекламодавцям хочеться розсилати добре оформлені офіційні розсилки (без всяких спамерських трюків і зашумлення, які роблять рекламу нелегкою), які будуть доходити до користувача. З іншого боку, їм як і раніше хочеться розсилати листи не вузькому колі своїх передплатників, а за багатомільйонними баз адрес.
Все це призводить до того, що з'являється все більше «сірих» розсилок. Це розсилки, які офіційно оформлені, розсилаються ні з ботнетів, а з власних серверів розповсюджувачів, на них можна підписатися і від них відписатися. Однак крім передплатників вони розсилаються по величезним купленим баз адрес тим людям, які не давали згоду на отримання такої розсилки. (Нагадаємо, що закони багатьох країн забороняють розсилку без попередньої згоди користувача.)
Така ситуація призводить до того, що частина розсилки виявляється легальної, а частина - спамом. Це ставить перед антиспам-індустрією нову задачу і веде до розвитку нових технологій, які повинні бути засновані на репутації розсильників.
Тренд 2013: підробки під листи від антивірусних компаній
Зазвичай шкідливі і шахрайські листи розраховані на людей дуже наївних або погано знайомих з правилами безпеки при роботі в інтернеті. Тверезомисляча людина навряд чи повірить у справжність листа, в якому йдеться про випадковий виграш кількох мільйонів доларів, а знає основні правила IT-безпеки не пройде по посиланню в листі «від банку» і не стане вводити пароль до банківської облікового запису.
У 2013 році ми зафіксували кілька розсилок, які виглядали як повідомлення від антивірусних компаній, тобто були розраховані саме на тих користувачів, які знайомі з азами безпеки.
Зауважимо, що експерти з IT-безпеки настійно рекомендують користувачам регулярно оновлювати антивіруси, оскільки це важливо для забезпечення надійного захисту комп'ютерів. Саме на цьому і спробували зіграти кіберзлочинці. У листі, розісланому від імені антивірусної компанії, користувачеві пропонувалося негайно оновити систему за допомогою вкладеного файлу. Від листа до листа текст повідомлення не змінювався, а в поле відправника спамери використовували імена практично всіх відомих антивірусних вендорів: «Лабораторії Касперського», McAfee, ESET, Symantec і інших.
Насправді у вкладенні перебувала шкідлива програма, Детектируемая «Лабораторією Касперського» як Trojan-Spy.Win32.Zbot.qsjm. Цей троянець належить до відомого сімейства ZeuS / Zbot і призначений для розкрадання конфіденційної інформації користувача, в першу чергу фінансової. Зловредів здатний модифікувати вміст завантажених в браузер користувача сторінок банківських сайтів, вставляють в них шкідливі скрипти з метою отримати аутентифікаційні інформацію (логіни, паролі, коди безпеки). Цей троянець також краде приватну інформацію, знімаючи скріншоти і відео екрану, перехоплюючи введення даних з клавіатури і т.д. Цікаво, що для отримання команд і файлу конфігурації Trojan-Spy.Win32.Zbot.qsjm звертається не до командного центру, а використовує P2P-протокол і отримує потрібну інформацію з інших заражених машин.
В іншій розсилці використовувався той же прийом: користувачеві приходила фальшивка, що імітує лист служби підтримки антивірусної компанії з результатами перевірки раніше надісланого файлу.
У листі містився файл нібито для очищення системи від шкідливої програми. Насправді це був поштовий черв'як, що детектується «Лабораторією Касперського» як Email-Worm.Win32.NetSky.q. Цей черв'як збирає електронні адреси з адресних книг користувачів.
Світові події в спам
У 2013 році спамери дуже активно використовували ажіотаж навколо різних світових подій. Абсолютна більшість спам-розсилок, що експлуатують значущі події, були шахрайськими або шкідливими.
Наприклад, новина про смерть президента Венесуели Уго Чавеса була використана як в шахрайських, так і у шкідливих листах. Однак, як правило, різні категорії спамерів віддають перевагу різним новини. Так, в нігерійських листах найчастіше використовуються відсилання до подій, які відбувалися в Азії і на Близькому сході, тоді як в листах з шкідливими посиланнями спамери згадують різні європейські та американські події. Відзначимо також, що шахрайські листи поширюються на різних мовах (правда найчастіше вони переведені за допомогою автоматичного перекладача), а шкідливий спам майже завжди розсилається на англійській мові.
У нігерійському спам в 2013 році активно використовувалася тема повалення президента Єгипту Мухаммеда Мурсі, а також складна політична обстановка в Сирії. За допомогою традиційних для нігерійських листів прийомів шахраї намагалися виманити у користувачів гроші. Ми фіксували аналогічні розсилки і після смерті лівійського лідера Муаммара Каддафі, і після тюремного ув'язнення єгипетського президента Хосні Мубарака. Всі ці листи дуже схожі, хоча спамери і намагаються придумувати нові історії. Наприклад, в спам, що стосується подій в Сирії, були помічені листи, надіслані нібито солдатами американської армії:
У шкідливий спам експлуатувалися такі події, обрання нового Папи Римського, народження дитини в сім'ї принца Вільяма в Великобританії, викриття від Едварда Сноудена та інші. Шкідливі листи зазвичай підроблені під розсилки в рамках новинних кампаній і містять посилання нібито на цікавий матеріал. Однак користувач, який пройшов по посиланню, перенаправляється на сайт з шкідливими програмами.
Багато шкідливих розсилки з гарячими новинами містили посилання на сайти з набором експлойтів Blackhole. Відзначимо, що після арешту в жовтні ймовірного автора набору експлойтів Blackhole, характерні новинні шаблони перестали використовуватися спамерами. Швидше за все, це явище носить тимчасовий характер, і скоро ми побачимо подібні «новинні» листи з посиланнями на інші шкідливі програми.
Статистика
Частка спаму в поштовому трафіку
Частка спаму в поштовому трафіку в 2013 році в порівнянні з попереднім роком зменшилася на 2,5% і склала 69,6%. Вперше за багато років середньорічна кількість спаму не дійшла до позначки 70%.
Частка спаму в поштовому трафіку, 2013 р
Відзначимо, що протягом усього року (без урахування аномально низького значення в січні) часткові показники спаму від місяця до місяця змінювалися незначно. Це говорить про деяку стабільність, і можна з великою часткою ймовірності сказати, що в наступному році частка спаму істотно не зміниться.
Розподіл джерел спаму по країнам
Розподіл джерел спаму по країнам, 2013 р
Лідерами по розсилці спаму в світі залишаються Китай (+ 3,5%) і США (+ 2%). З цих двох країн розсилається 40,6% всього світового спаму. Перше і втричі місця, які ці країни займають в нашому рейтингу, відповідають позиціям Китаю і США в рейтингу країн за кількістю користувачів інтернету (Китай - на першому місці, США - на другому).
На третє місце піднялася Південна Корея, її частка збільшилася в 3,5 рази в порівнянні з минулим роком. Значно зріс також показник Тайваню (+ 3,7%), в результаті він вийшов на четверте місце.
Збільшилася також частка Казахстану, України і Білорусії - з цих країн особливо багато спаму розсилалися в другому кварталі 2013 року:
Відсоток спаму, що розсилається з України, Казахстану і Білорусії, 2013 р
У 4 рази зменшилася частка Бразилії, через що вона перемістилася з 5-ї позиції на 16-ю. У той же час помітно збільшилася частка Канади, яка раніше не входила в TOP 20 країн - джерел спаму, а за підсумками 2013 року посiла 14-е місце.
Відсоток спаму, що розсилається з Канади і Бразилії, 2013 р
Відзначимо, що в Канаді до сих пір не прийнятий закон проти спаму. Ідея створити антиспамовий закон (CASL) з'явилася в Канаді ще в 2005 році, і тепер, за словами міністра промисловості Канади Джеймса Мура , Закон повинен нарешті набути чинності з 1 липня наступного року. Закон, крім спаму, регулює деякі пов'язані зі спамом області, такі як організацію ботнетів, розсилку фішингу та шкідливих програм.
Регіони - джерела спаму
Розподіл джерел спаму по регіонах, 2013 р
Що стосується регіонів, з яких поширюється спам, то на першому і другому місцях, як і раніше знаходяться Азія (+ 5,3%) і Північна Америка (+ 3,2%). На третє місце вийшла Східна Європа, частка якої збільшилася в порівнянні з минулим роком майже в 2 рази.
Частка Західної Європи скоротилася на 2,4%, хоча вона як і раніше займає 4-е місце в рейтингу. У 3 рази зменшилася частка Латинської Америки, яка в 2013 році посіла п'яте місце.
Розмір спамових листів
Розподіл спамових листів за розмірами, 2013 р
2013 рік можна сміливо назвати роком суперкоротких листів. Частка листів в спам, розмір яких не перевищує 1Кб, склала 74,5%. Використання компактних повідомлень дозволяє спамерам розсилати більше листів з меншими витратами трафіку. Створити за допомогою робота короткі фрази, які цілком змінюються від листа до листа, використовуючи десяток тематичних слів і випадкові зашумлення, зовсім не складно. При цьому листи виходять унікальними, що ускладнює роботу спам-фільтрів. В основному такі листи містять посилання на рекламні сайти. Характерні представники суперкороткі спаму - реклама медикаментів типу віагри і Ціаліс.
Шкідливі вкладення в пошті
Частка листів зі шкідливими вкладеннями в 2013 році склала 3,2%, що на 0,2% менше, ніж в попередньому.
Уже третій рік найбільш часто поширювані шкідливі програми в пошті - це програми, націлені на крадіжку призначених для користувача конфіденційних даних, в першу чергу логінів і паролів від систем інтернет-банкінгу.
ТОР 10 шкідливих програм, поширених в пошті, 2013 р
Перше місце займає Trojan-Spy.HTML.Fraud.gen. Ця програма зазвичай поширюється з фішинговими листами і являє собою html-сторінку, яка імітує реєстраційну форму сервісу онлайн-банкінгу. Вона використовується фішерами для розкрадання облікових даних користувачів.
З 2-го по 4-е, а також 7-е і 9-е місця зайняли поштові черв'яки Bagle і Mydoom, основна функція яких - збирати електронні адреси з заражених комп'ютерів. Поштовий хробак сімейства Bagle також може приймати віддалені команди на установку інших шкідливих програм.
На п'яте місце в 2013 році вийшов Trojan-Banker.HTML.Agent.p. Як і Fraud.gen, даний зловредів виконаний у вигляді html-сторінки, що копіює реєстраційні форми сервісів онлайн-банкінгу або інших інтернет-сервісів, і створений для крадіжки користувальницьких акаунтів.
Шосте місце зайняв троянець-шпигун сімейства Zbot. Метою програм ZeuS / Zbot є крадіжка різної конфіденційної інформації з комп'ютерів користувачів, включаючи дані кредитних карт. У минулому році ця шкідлива програма не ввійшла в TOP 10, проте, Zbot ніколи не йшов з нашого поля зору: цього сімейства шкідливих програм вже багато років, і вони постійно модифікуються.
На восьмій позиції знаходиться Trojan-PSW.Win32.Tepfer.hjva. Програми такого типу створені для крадіжки паролів до призначених для користувача аккаунтів.
На десятому місці - Trojan.Win32.Bublik.aknd. Ця програма збирає з зараженого комп'ютера користувача паролі від FTP, дані для авторизації на поштових сервісах, сертифікати. Крім того, троянець може переглядати форми в браузерах Mozilla Firefox і Google Chrome з метою пошуку збережених логінів і паролів. Знайдені дані програма відправляє зловмисникам.
Одні сімейства шкідливих програм мають багато різних модифікацій, а інші - лише кілька видів. Тому рейтинг сімейств шкідливих програм відрізняється від рейтингу окремих програм.
ТОР 10 сімейств шкідливих програм, поширених в пошті в 2013 р
Крім вже описаних вище програм сімейств Tepfer, Zbot, Bublik, Fraud, Mydoom і Bagle, в цьому рейтингу присутні:
- Backdoor.Win32.Androm. Дозволяють зловмисникові непомітно управляти зараженим комп'ютером, наприклад, завантажувати на нього інші шкідливі файли і запускати їх, відправляти різну інформацію з комп'ютера користувача і т.д. Крім того, нерідко заражені такими програмами комп'ютери стають частиною ботнету.
- Trojan-Ransom.Win32.Blocker. Призначені для шантажу і вимагання. Вони блокують роботу операційної системи і розміщують на робочому столі банер з умовами розблокування, наприклад з вимогою відправити платне SMS на вказаний короткий номер.
- Trojan-PSW.Win32.Fareit.amdp. Переглядають реєстр і системні файли, що зберігають конфіденційні дані користувача. Їх мета - знайти і передати зловмисникам паролі, логіни та іншу конфіденційну інформацію.
- Trojan.Win32.Inject. Програми-завантажувачі, які завантажують на заражений комп'ютер інші шкідливі програми.
Розподіл спрацьовувань поштового антивірусу по країнах, 2013 р
Що стосується країн, куди розсилається найбільшу кількість шкідливих програм, трійка лідерів не змінилася з минулого року: це США, Німеччина і Великобританія. Але якщо частки США і Німеччини протягом року змінювалися незначно, то частка Великобританії збільшилася з 5,4% у першому кварталі до 11,9% в четвертому.
Зміна частки спрацьовувань поштового антивірусу - Великобританія, 2013 р
Частки інших країн змінилися незначно, за винятком Італії, яка піднялася з 10-го місця на 5-е (+ 2,1%). Вся справа в тому, що в лютому в Італію була спрямована потужна розсилка, яка містить Trojan-Banker.HTML.Agent.p, в результаті чого в цьому місяці Італія навіть виявилася на 1-му місці в TOP 10.
фішинг
Розподіл TOP 100 організацій, атакованих фішерами *, за категоріями
* Рейтинг категорій атакованих фішерами організацій грунтується на спрацьовування нашого компонента антифішинга на комп'ютерах користувачів. Антифішинг детектирует все фішингові посилання, за якими намагався пройти користувач, - будь то посилання в спамових листі або в інтернеті.
Серед організацій, атакованих фішерами, стало більше організацій, які безпосередньо не пов'язані з фінансовими даними. В TOP 100 частка атак на соціальні мережі виросла на 7,6%, на пошукові портали - на 1,8%, частка атак на електронну пошту збільшилася в 4 рази. При цьому показники фінансових організацій і онлайн-магазинів в рейтингу категорій організацій, атакованих фішерами, зменшилися на 6% і 12,2% відповідно.
Такий очевидний зрушення показує, що монетизація фішингу багато в чому відбувається за рахунок продажу вкрадених у користувачів акаунтів, які в подальшому можуть бути використані для розсилки спаму або шкідливого контенту по контакт-листів. За нинішньої тенденції до уніфікації один акаунт може бути доступом до порталу, що включає пошту, соціальну мережу, дисковий простір і багато іншого. Крім того, аккаунт користувача може бути пов'язаний і з його банківськими даними. Кожен такий аккаунт стає привабливою мішенню для кіберзлочинців.
Висновок і прогнози
Частка спаму в 2013 році зменшилася на 2,5% в порівнянні з минулим роком, проте починаючи з лютого відсоток спаму в пошті змінювався мало. Можна припустити, що і в наступному році частка спаму в трафіку зміниться незначно. При цьому помітно збільшується зона «сірих» розсилок - розсилаються і передплатникам, і широкому колу незацікавлених осіб.
Чим менше залишається в спам легальних комерційних пропозицій, тим більше стає шахрайських і шкідливих листів. Причому якщо раніше зловмисники використовували в основному недосвідченість користувачів, то в міру збільшення числа користувачів, які дотримуються правила IT-безпеки, шахраї вигадують нові прийоми, наприклад видають шкідливий файл в листі за оновлення антивіруса.
Серед шкідливих вкладень у пошті з'являється все більше зловредів, націлених на розкрадання конфіденційних даних, особливо логінів-паролів до банківських систем. Швидше за все, в наступному році ця тенденція продовжиться.
Цікаво, що при цьому фішинг, навпаки, переміщається з банківських аккаунтів в сторону соціальних мереж і пошти. Почасти це пояснюється тим, що зараз один поштовий акаунт може давати доступ відразу до великої кількості контенту, включаючи пошту, соцмережі, програми миттєвого обміну повідомленнями, хмарні сховища, а іноді і мати прив'язку до кредитній карті.
Спам змінюється, в ньому залишається все менше традиційної реклами. Зате різного шахрайства, шкідливих програм і фішингу стає більше. І навіть досвідченим користувачам інтернету слід бути дуже уважними, щоб не попастися на прийом шахраїв.