Спам в сентябре 2012 года
Сентябрь в цифрах
- Доля спама в почтовом трафике по сравнению с августом увеличилась на 2,3% и составила в среднем 72,5%.
- Доля фишинговых писем в почтовом потоке по сравнению с августом увеличилась втрое и составила 0,03%.
- В сентябре вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца.
Главные темы спама
Мошенничество в спаме
В спаме, по сравнению с августом, стало меньше вредоносных и мошеннических рассылок. Однако наблюдались мошеннические рассылки, в которых использовались новые приемы социальной инженерии.
Нефтегазовое мошенничество
Среди традиционных мошеннических писем, сообщающих о выигрыше в лотерее, были зафиксированы сообщения, использующие имя крупнейшей в России газодобывающей компании — Газпрома (пример 1). Нехитрый текст сообщения гласил, что пользователь выиграл 920 000$ и, чтобы получить деньги, должен позвонить по указанному телефону. Напомним, что при лотерейном мошенничестве злоумышленники обычно запрашивают комиссию за перевод выигрыша, которого, конечно, не существует. Отметим также, что сообщение было составлено на английском языке.
Газпром — не единственная российская компания «засветившаяся» в мошенническом спаме в сентябре. Лукойл также показался мошенникам хорошей наживкой для пользователей. Типичные спамерские сообщения, предлагающие дистанционную работу и приличный доход, уверяли, что согласившийся пользователь будет работать не просто на «некую крупную компанию», но на Лукойл. Очевидно, этот трюк был призван повысить степень доверия пользователя к рассылке. На деле, разумеется, упоминание крупной российской нефтяной компании — только прикрытие. Такие рассылки призваны включить пользователей в незаконные схемы отмывания денег, зачастую, даже без их ведома. «Работой» оказывается процессинг денег с указанных «работодателями» счетов на счет пользователя и далее на счета третьих лиц. Пользователю этот процесс выдается, например, за работу интернет-магазина, на деле же это процессинг денег с краденых или компрометированных пластиковых карточек.
Интересно, что в поле отправителя письма в обоих случаях указан домен mail.com, что наводит на мысль о едином источнике обеих рассылок. Напрашивается также вывод, что спамер — выходец из бывшего СССР, поскольку в своих англоязычных посланиях он использовал названия российских компаний.
Подчеркнем, что спамеры могут прикрываться в своих посланиях абсолютно любыми известными брендами или именами ради того, чтобы добиться большего отклика на свои рассылки. Упоминание крупной компании в спамерском послании не делает сообщение безопасным.
Мишель Обама vs. Асма Асад
Подтверждением того, что спамеры могут прикрываться абсолютно любыми знаменитыми личностями в своих мошеннических сообщениях, служит пример 4. Это сообщение написано от имени жены действующего американского президента — Мишель Обамы, которая пишет пользователю о том, что он получит выплату от фонда Белого Дома.
Это типичное лотерейное сообщение привлекло наше внимание не только тем, что «автор» его — Мишель Обама. Интересно наблюдать, как спамеры учитывают общественное мнение о тех или иных известных личностях. Так, начиная с апреля, мы фиксируем в спам-потоках сообщения «от Асмы Асад» — жены Башара Асада — сирийского лидера. Однако в отличие от сообщения, подписанного «Мишель Обамой», письма «от первой леди Сирии» сообщают не о получении выплаты от фонда, а о баснословных средствах, которые необходимо вывести за границу. Спамеры понимают, что с точки зрения пользователя, было бы странно предполагать, что член семьи американского президента попытается вывести за границу какие-то подозрительные деньги, а вот выплаты от фонда, опекаемого первой леди США, никого не удивят. С женой же сирийского президента обратная картина — пользователь скорее почувствует подвох, если увидит в своем почтовом ящике сообщение о благотворительности из Сирии, чем о попытке вывести за границу краденое.
Само сообщение не может не поразить воображение полем «от». Отправителем письма значится World Wide Web Owner. Это забавно, так как равнозначно ситуации, в которой пользователь получает письмо от некоего мифического владельца интернета, ведь World Wide Web — это WWW. Идем дальше и видим, что доменная зона, в которой расположен почтовый ящик владельца интернета — .ru. Как следует из письма, этот самый сферический владелец всея интернета пишет от имени Мишель Обамы. Почтовый ящик самой «Мишель», указанный в поле «Отправитель» совсем уж замечателен: начать с того, что начинается он буквенным сочетанием “missnadia”, что раскладывается на Miss Nadia. Трудно представить, что Мишель Обама взяла себе для электронного почтового ящика такой странный псевдоним. Непросто также объяснить, почему этот почтовый ящик заведен на китайском yahoo. Ну и совершенно немыслимо, чтобы первая леди США отправляла с такого почтового ящика официальные письма о распределении своего фонда.
Быстрокредиты
Опасность новой волны кризиса породила множество мошеннических фирм, предлагающих быстрые кредиты всем желающим. Рекламу таких «благодетелей» можно увидеть во всех российских городах на рекламных щитах или объявлениях, расклеенных на остановках и столбах. Все эти кредиты выдаются под несправедливо большой процент, а компании, их выдающие, и права-то на такую деятельность не имеют. Весьма часто такие «конторки» являются заказчиками спамерских рассылок. Обычно их рассылки не блещут оригинальностью и по содержанию похожи на те же, расклеенные у метро, объявления: «Получите кредит без согласования! Быстро! Просто! Телефон:…»
В сентябре, однако, мы получили необычную рассылку такого рода. Письма были написаны якобы от имени управляющего одного из московских банков. Автор письма сообщает, что работает последний день и в честь такого дела готов одобрить кредит каждому, кто немедленно подаст заявку. В примере 2 вы можете увидеть письмо из «второй волны» этой рассылки, которая пошла на следующий день. В повторном сообщении сказано, что банк не справился с огромным количеством поступивших накануне запросов, однако те, кто успел в день Х отправить свою заявку и не получил ответа, все равно получат вожделенный кредит.
Отметим, что банк, чье имя использовалось в рассылке, оперативно разместил на своем официальном сайте предупреждение о том, что его именем пользуются мошенники.
Купонная история продолжается
Как мы и ожидали, тема купонов становится все популярнее у злоумышленников. В сентябре мы фиксировали рассылки, содержащие ссылки на зараженные сайты (пример 5). Сами сообщения были похожи на легитимную почту Groupon, подкачало только поле «Отправитель», которое не имеет ничего общего с купонным сервисом.
Праздник к нам приходит?
Новогодние рассылки по традиции начинаются в октябре. Обычно сначала мы фиксируем сообщения на английском, немецком и других европейских языках. Этот год стал исключением из этих правил. Уже в сентябре мы зафиксировали первую рассылку, эксплуатирующую тему новогодних праздников, и эта рассылка была на русском языке.
Интересно отметить, что приглашение на московскую новогоднюю елку пришло с киевского электронного адреса.
Горячие темы
В сентябре много шума наделало видео, размещенное на сервисе Youtube, — «Невинность мусульман». В России это видео стало даже поводом к закрытию Youtube в некоторых областях.
Сторонники этого видео старательно распространяли его, в том числе и через спам. Мы ожидали увидеть под видом ссылок на это видео ссылки на зараженные сайты. Как ни странно, наши ожидания не оправдались, в зафиксированных нами рассылках с этим видео не было вредоносного кода или опасных ссылок.
Отметим, что все зафиксированные нами сообщения были на английском языке.
Статистический обзор
Страны — источники спама
В рейтинге стран — источников спама в русскоязычном сегменте интернета, представленном ниже, уже третий месяц подряд не изменяется пара лидеров. На первом месте — Индия (-9,4%) на втором — Вьетнам (-2,8%).
Страны — источники спама в русскоязычном сегменте интернета, сентябрь 2012 г. (TOP 20)
Самый заметный рост доли спама, распространенного с территории государства, показала Германия, вернувшаяся к июльскому результату как по доле спама, распространенного с ее территории, так и по месту в рейтинге (3-е место и 5,3% спама).
Заметно увеличилась доля спама, распространенного в Рунете с территории США (+2,6%) и Испании (+2,3%), в результате эти страны заняли пятую и десятую строчки соответственно.
Вклад других стран в спам в русскоязычном сегменте интернета по сравнению с июлем изменился незначительно — в пределах 1%.
Россия в рейтинге сместилась на одну строчку вниз, доля спама, полученного пользователями Рунета с ее территории, увеличилась на 0,1%. Казахстан сместился с девятого места на тринадцатое, доля спама, распространенного с территории этой страны, сократилась на 0,7%.
В мировом масштабе лидерство среди стран — источников спама осталось у Китая (26,4%). Второе место занимают США (12,5%), Индия остается на третьем (10,1%).
Вредоносные вложения в почте
В сентябре вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца.
Распределение срабатываний почтового антивируса по странам
Распределение срабатываний почтового антивируса по странам в сентябре 2012 г.
В рейтинге стран по срабатыванию почтового антивируса произошли кардинальные изменения. США, лидировавшие в этом рейтинге восемь месяцев подряд, неожиданно сместились сразу на восьмую строчку. Доля детектирований нашего почтового антивируса, приходящаяся на эту страну, уменьшилась на 6,9%. Одновременно почти на 6% возросла доля срабатываний почтового антивируса на территории Германии. Эта страна с большим отрывом вырвалась вперед по доле срабатываний почтового антивируса. Занимающая второе место в рейтинге Испания отстает от лидера на 6,4%. Надо отметить, что доля Испании в рейтинге увеличилась более чем на 4%. Третье место в рейтинге заняла Россия, доля срабатываний на ее территории также заметно увеличилась (+5,4%). Почти на 2% стала больше доля срабатываний почтового антивируса на территории Индии. В то же время, уменьшилась доля срабатываний MAV на территории Великобритании.
Изменения долей остальных стран рейтинга не превышают 1,5%.
ТОP 10 вредоносных программ, распространенных в почте
ТОP 10 вредоносных программ, распространенных в почте в сентябре 2012 г.
По итогам сентября доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сократилась. Эта вредоносная программа даже не вошла в ТОР 10.
На первом месте в рейтинге расположился зловред Backdoor.Win32.Androm.kv, а на шестом — другая вредоносная программа того же семейства модификации Androm.ib. Напомним, что вредоносные программы этого семейства появились в ТОР 10 самых часто детектируемых нашим почтовым антивирусом программ в июне, и все лето они оставались в числе популярных в почте зловредов. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы, в том числе спам-боты.
Почтовые черви Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m и Mydoom.l занимают второе, третье и четвертое места соответственно. Напомним, что стандартный функционал почтовых червей заключается в сборе электронных адресов на зараженном компьютере и рассылке по ним самого себя, Bagle.gt единственный из трех зловредов снабженный дополнительным функционалом — возможностью обращаться в интернет и загружать на компьютер пользователя другие вредоносные программы.
Четыре из десяти самых популярных в почте программ относятся к семейству Trojan-Ransom.Win32.PornoAsset — это программы вымогатели, блокирующие операционную систему и требующие заплатить деньги за разблокировку. Заметим, что даже после выплаты «выкупа» система не будет разблокирована, поэтому пользователю не стоит идти на поводу спамеров, а имеет смысл обратиться за помощью к специалистам, которые объяснят, как разблокировать систему.
Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с августом увеличилась втрое и составила 0,03%.
Распределение TOP 100 организаций, атакованных фишерами,
по категориям,
сентябрь 2012 года
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
Вопреки нашим ожиданиям, доля атак на социальные сети в сентябре не уменьшилась. Эта категория организаций все еще занимает первое место по популярности у фишеров, доля атак на нее подросла незначительно — на 0,1%. Доля атак на финансовые организации уменьшилась на 3,6%, что также не соответствует нашим прогнозам. Вероятно, снижение доли атак на банки и финансовые организации связано, в том числе, с усилиями таких организаций по защите своих клиентов и введению дополнительных защитных технологий и технологий авторизации.
Заключение
В сентябре, как мы и прогнозировали, количество вредоносных и мошеннических рассылок в спаме несколько уменьшилось, так как закончился сезон отпусков, выросла деловая активность, и у спамеров стало больше заказов со стороны малого и среднего бизнеса. Вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца. Тем не менее, в спам-потоках наблюдались мошеннические рассылки, в которых использовались новые приемы социальной инженерии.
В сентябре мы зафиксировали первую рассылку, посвященную Новому году. Обычно такие рассылки появляются лишь в октябре, но этот год стал исключением. В следующие месяцы доля таких сообщений вырастет, и новогодние и рождественские сообщения станут разнообразнее.
В рейтинге стран по срабатыванию почтового антивируса по итогам сентября произошли кардинальные изменения. США, лидировавшие восемь месяцев подряд, неожиданно сдали позиции: доля детектирований нашего почтового антивируса, приходящаяся на эту страну, уменьшилась на 6,9%. Изменения коснулись и рейтинга наиболее часто детектируемых почтовым антивирусом программ: традиционный лидер нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сдал свои позиции и даже не вошел в ТОР 10.
Распределение фишинговых атак по категориям организаций не соответствует нашим прогнозам на сентябрь: доля атак на социальные сети не сократилась, и, вопреки нашим ожиданиям стало меньше атак на финансовые организации. Вероятно, снижение доли атак на банки и финансовые организации связано, в том числе, с усилиями таких организаций по защите своих клиентов и введению дополнительных защитных технологий и технологий авторизации. Тем не менее, снижение интереса фишеров к банковскому сектору может носить лишь временный характер, так как в случае успеха именно такие атаки приносят злоумышленникам наибольший доход.
НОВОЕ НА САЙТЕ
Главная
Методы обнаружения вирусов
Классификация антивирусов
Недостатки
Новости антивирусов
Антивирус Касперского
Антивирус Dr.Web
Антивирус Nod32
Антивирус Panda
Антивирус Avira
Антивирус Avast
Антивирус AVG
Вирусные новости
Горячая лента угроз и предупреждений о вирусной опасности!
Лента уязвимостей
Новости Безопастности
Вирусный Лист
Аналитические статьи
Каталог
Спам в июле 2011 года
Обзор DDoS-атак во втором квартале 2011 года
Спам во втором квартале 2011
Развитие информационных угроз во втором квартале 2011 года
Обзор вирусной активности - июль 2011
Наборы эксплойтов в первой половине 2011 года
Спам в июне 2011 года
Обзор вирусной активности - июнь 2011
Дети онлайн: техника безопасности
TDL4 - Top Bot
Спам в мае 2011 года
Землетрясение в Японии - хронология IT-угроз
Спам в первом квартале 2011
Спам в апреле 2011 года
Развитие информационных угроз в первом квартале 2011 года
Спам в марте 2011 года
«Рекламный» ботнет
Обзор вирусной активности - март 2011
Спам и закон: осеннее противостояние
Мобильная вирусология, часть 4
Планета, захваченная спамерами
MYBIOS. Возможно ли заразить BIOS?
Спам в августе 2011 года
Обзор вирусной активности - август 2011
ZeuS-in-the-Mobile - факты и догадки
Обзор вирусной активности - сентябрь 2011
Спам в сентябре 2011 года
Спам в третьем квартале 2011
Обзор вирусной активности - октябрь 2011
Развитие информационных угроз в третьем квартале 2011 года
Спам в октябре 2011 года
Головы Гидры. Вредоносное ПО для сетевых устройств
Легальные буткиты
Онлайн-платежи - удобно и безопасно
Обзор вирусной активности - ноябрь 2011
Троянцы-вымогатели
Спам в ноябре 2011 года
Stuxnet/Duqu: эволюция драйверов
Спам в декабре 2011 года
Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете
Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
Kaspersky Security Bulletin. Основная статистика за 2011 год
Kaspersky Security Bulletin. Спам в 2011 году
Спам в январе 2012 года
DDoS-атаки второго полугодия 2011 года
Мобильная вирусология, часть 5
Обзор вирусной активности - февраль 2012
Спам в феврале 2012 года
Спам в марте 2012 года
Обзор вирусной активности, март 2012
Анатомия Flashfake. Часть I
Спам в первом квартале 2012
Спам в апреле 2012 года
Развитие информационных угроз в первом квартале 2012 года
Обзор вирусной активности - апрель 2012
Анатомия Flashfake. Часть II
Спам в мае 2012 года
XPAJ. Исследование буткита под Windows x64
Спам в июне 2012 года
Развитие информационных угроз во втором квартале 2012 года
Спам в июле 2012 года
Спам во втором квартале 2012
География киберпреступлений. Западная Европа и Северная Америка
Спам в августе 2012 года
«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов
Спам в сентябре 2012 года
Безопасность ключевых систем информационной инфраструктуры: точка доверия
Развитие информационных угроз в третьем квартале 2012 года
Спам в третьем квартале 2012
Спам в октябре 2012
Kaspersky Security Bulletin 2012. Кибероружие
Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
Спам в ноябре 2012
Информационная безопасность в 2030 году: прежними останутся только люди
Спам в 2012 году
Спам в декабре 2012
Нигерийское наследство ждет вас
Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО
«Операция Абабиль»: итоги
«Медовые ловушки» в интернете
Контроль запуска программ как залог безопасности сети. Часть 1
Контроль запуска программ как залог безопасности сети. Часть 2
Спам в январе 2013
Мобильная вирусология, часть 6
Спам в феврале 2013
Winnti. Это вам не игрушки
Анализ Winnti 1.0
Спам в марте 2013
Spyware. HackingTeam
Спам в первом квартале 2013
Развитие информационных угроз в первом квартале 2013 года
Спам в апреле 2013
Спам в мае 2013
Перенаправления в спаме
Спам в июне 2013
Спам во втором квартале 2013
Развитие информационных угроз во втором квартале 2013 года
Anti-decompiling techniques in malicious Java Applets
The curious case of a CVE-2012-0158 exploit
Spam in Q2 2013
Spam in June 2013
Redirects in Spam
Spam in May 2013
Spam in April 2013
IT Threat Evolution: Q1 2013
Spam in Q1 2013
Spyware. HackingTeam
Spam in March 2013
Spam in February 2013
Mobile Malware Evolution: Part 6
Spam in January 2013
Application Control: the key to a secure network. Part 1
Application Control: the key to a secure network - Part 2
Honey traps on the Internet
Kaspersky Lab report: Evaluating the threat level of software vulnerabilities
Spam in December 2012
Kaspersky Security Bulletin: Spam Evolution 2012
Спам в июле 2013
Как закрыть черную дыру?
DDoS-атаки первого полугодия 2013 года
Операция «Kimsuky»: северокорейская разведдеятельность?
Защита от виртуальных грабителей
Спам в августе 2013
PAC - файл автоконфигурации проблем
Проигрыш обеспечен, или настоящее лицо фальшивой Фортуны
Спам в первом квартале 2014
Спам в марте 2014
Развитие информационных угроз в первом квартале 2014 года
Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО
Финансовые киберугрозы в 2013 году. Часть 1: фишинг
BitGuard: система принудительного поиска
Спам в феврале 2014
Мобильные угрозы - 2013
Спам в январе 2014
Угроза из BIOS
Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов
Kaspersky Security Bulletin. Спам в 2013 году
Спам в декабре 2013
Спам в ноябре 2013
Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году
Kaspersky Security Bulletin 2013. Корпоративные угрозы
Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Kaspersky Security Bulletin 2013. Прогнозы
Новая угроза для онлайн-банка
Спам в апреле 2014
Дети в Сети: формула безопасности
Обманщики в социальных сетях
Многофункциональный DDoS-троянец под Linux
Спам в мае 2014