Методы обнаружения вирусов

Спам в 2012 году

Цифры года

  • Доля спама в почте в среднем составила 72,1%.
  • Доля фишинговых писем составила 0,02% от всего почтового трафика.
  • Доля писем с вредоносными вложениями составила 3,4% почтового трафика.

Тенденции 2012

Снижение доли спама

Количество спама в этом году уменьшалось в течение всего года. По итогам года доля спама в среднем составила 72,1% — на 8,2% меньше, чем в 2011 году.


Доля спама в почтовом трафике

Такое продолжительное и значительное уменьшение доли спама не наблюдалось еще ни разу. Кроме того, средний процент спама в 2012 получился существенно ниже, чем в 2010 (82,2%) и 2011 (80,3%) годах, когда активно закрывали командные центры ботнетов и фармацевтические партнерские программы. В 2012 году доля спама была самой низкой за последние 5 лет.

Основная причина уменьшения количества спама в почте — повышение общего уровня антиспам-защиты.

Во-первых, в настоящее время спам-фильтры стоят на любой, даже бесплатной почтовой системе, причем уровень детектирования спама, как правило, не ниже 98%.

Во-вторых, многие почтовые провайдеры ввели политику обязательной DKIM-подписи (цифровой подписи, верифицирующей домен, с которого пришло письмо).

DKIM появилась еще в 2006 году, но распространялась довольно медленно. Только за последние пару лет она стала для почтовых провайдеров важным критерием, определяющим, доставлять ли письмо адресату. Поэтому злоумышленники стали подделывать DKIM-подписи. Это было возможно, поскольку многие компании использовали алгоритм шифрования подписи, актуальный на 2006 год, и в 2012-м зашифрованные с его помощью DKIM легко взламывались.

Однако в этом году в журнале Wired была опубликована статья, в которой описывалась проблема некриптостойкого шифрования DKIM-подписи. После этой публикации многие крупные компании, такие как Google, Yahoo и Microsoft, сменили шифрование подписи с помощью 512-битного ключа на более современное (с помощью 1024- или 2048-битного ключа). После этого подделка стала невозможной (по крайней мере, при нынешнем развитии вычислительных мощностей).

В результате принятых мер по усилению защиты от спама количество спамовых писем, достигающих ящиков пользователей, сократилось до минимума. Это делает спам крайне неэффективным, поэтому заказчики спама мигрируют на другие платформы, и количество спама в почте уменьшается.

Легальная интернет-реклама как альтернатива спаму

Когда антиспам-эксперты отвечают на вопрос о том, что нужно, чтобы спама стало меньше, помимо антиспамового законодательства, качественных фильтров и подготовленности пользователей, всегда упоминается возможность дешевой рекламы на легальных платформах. С появлением Web 2.0 возможности рекламы в интернете значительно расширились: появилась баннерная, контекстная реклама, реклама в социальных сетях и блогах.

Реклама на легальных рекламных площадках не вызывает раздражения у пользователей, получающих рекламные предложения, не блокируется спам-фильтрами, а рассылки направляются целевой аудитории, заведомо заинтересованной в покупке. Кроме того, в расчете на одного откликнувшегося пользователя, легальная реклама может быть значительно дешевле рекламы в спаме!

Основываясь на результатах некоторых сторонних исследований, мы подсчитали, что при средней цене в 150 долларов за 1 миллион разосланных спам-сообщений итоговая CPC (cost per click, стоимость одного пользователя, прошедшего по рекламной ссылке в сообщении) составит минимум 4,45 долларов. При этом аналогичный показатель в социальной сети Facebook составит всего 0,1 доллара.

Таким образом, по нашим оценкам легальная реклама эффективнее, чем спам. Наш вывод косвенно подтверждается тем, что классические для спама категории рекламы (такие как реклама реплик элитных товаров), переходят в социальные сети. Мы даже нашли некоторые соответствия: IP-адрес магазина, рекламируемого через Facebook, ранее был замечен в спаме.

Внимание рекламодателей привлек и еще один способ легальной рекламы в интернете — купонные сервисы. Сайты групповых скидок, на которых пользователям предлагаются так называемые купоны, появились несколько лет назад. Покупая купон, пользователь получает скидку на товар/услугу. В этом году купонные сервисы стали особенно популярными: в разных странах мира многие компании стремятся с их помощью расширить клиентскую базу, а клиенты, в свою очередь, получают выгодные предложения.

Рекламодатели, ранее пользовавшиеся услугами спамеров, тоже обратили свое внимание на купонные сервисы. Например, более 10% предложений на купонных сервисах относятся к категории «отдых и туризм», в то время как из спама эта рубрика практически исчезла. По-видимому, именно благодаря популярности купонных сервисов процесс миграции рекламы из спама на другие площадки стал более заметным.

Интересно, что популярность купонных сервисов отразилась и на спаме: злоумышленники начали подделывать письма от крупных купонных сервисов, используя их для рекламы собственных товаров и услуг или для направления пользователя на вредоносный сайт.

 

Отметим, что миграция на легальные платформы возможна преимущественно для рекламы легальных товаров и услуг. Возможность такой миграции особенно актуальна для России и других восточноевропейских стран, в которых в спаме пока еще относительно много рекламы малого и среднего бизнеса. Однако, учитывая, что даже в этих странах основная часть спама — это реклама контрафактных товаров, мошенничество и вредоносные письма, количество спама в почте по-прежнему будет оставаться высоким.

Вредоносные письма и мошенничество в спаме

2012 год поражает количеством тем, использованных во вредоносных письмах. Ранее злоумышленники уже подделывали уведомления от хостингов, социальных сетей, служб доставки, сообщения от финансовых и государственных организаций. В этом году они расширили этот спектр. Появились подделки нотификаций различных авиакомпаний, сервисов заказов отелей и уже упомянутых купонных сервисов.

Подобные письма-подделки могут содержать как вредоносные вложения в архиве, так и вредоносные ссылки.

 

 

Схема атаки, в которой используются ссылки, одна и та же. Ничего не подозревающий пользователь нажимает на ссылку в письме. По ссылке он направляется на взломанный сайт со встроенным скриптом, в свою очередь перенаправляющим пользователя на вредоносный сайт с эксплойтами. Чаще всего использовались редиректы на Blackhole exploit pack, но встречались и другие наборы эксплойтов.

Помимо описанной схемы злоумышленники несколько раз воспользовались официальной возможностью размещения контента на некоторых легитимных сайтах. В подделках под уведомления нами были замечены ссылки на сайты Wikipedia и Amazon. Злоумышленники использовали возможность создавать странички на данных ресурсах для размещения на них вредоносного контента. Однако вредоносные странички удаляются с сайтов очень оперативно, пока спам-рассылки с соответствующими ссылками еще не успевают распространиться. Видимо, поэтому такой способ не пользуется у злоумышленников большой популярностью.

Ссылки на другие легитимные ресурсы также были зафиксированы в спаме. Так, мошенники по-прежнему используют формы google.spreadsheets, чтобы воровать конфиденциальные данные пользователей (в основном логин и пароль от почтового ящика).

 

Среди методов социальной инженерии, которые используют злоумышленники, по-прежнему можно встретить подделки под личную переписку. Причем сделаны они зачастую очень грамотно, по содержанию догадаться о том, что письмо является спамом, довольно сложно. При проверке антивирусом файлов во вложенных архивах они детектируются как модификации различных вредоносных программ.

 

Злоумышленники обычно пытаются скрыть, что файлы в архиве — исполняемые (.exe), маскируя их под различные офисные приложения:

 

Встречались и подделки под личную переписку, составленные с расчетом на то, что жадность спровоцирует получателя открыть файл в архиве: пользователю якобы случайно попадает письмо с реквизитами Western.Union, по которым он якобы может получить некоторую сумму денег.

 

Однако вместо реквизитов Western Union во вложенном архиве находился троянец семейства Zbot.

Перераспределение источников спама

В распределении источников спама в 2012 году произошли серьезные изменения.

Китай, который в прошлом году даже не вошел в первую двадцатку стран — источников спама, в 2012 вышел на первое место с показателем 19,5%. На 13,5% увеличился процент спама, распространенного из США, которые по итогам года заняли второе место в рейтинге (15,6%).

Эти страны ранее уже были лидерами по рассылке спама. Количество спама, рассылаемого из Китая, уменьшилось в 2007 году, после принятия в стране антиспамового закона. Спам из США сошел на нет после закрытия командных центров нескольких ботнетов в 2010 году. Однако эти страны лидируют по количеству интернет-пользователей, причем с большим отрывом от остальных стран мира. Суммарно в США и Китае находится более 30% всех пользователей интернета. Конечно, такие большие потенциальные мощности не могли не заинтересовать организаторов ботнетов, которые стараются расширить сети зараженных машин.

 
Распределение источников спама по странам

Процесс перераспределения источников распространения спама по странам шел в течение всего года. Особенно заметно изменился состав лидеров Азиатского региона: на первое место вырвался Китай, тогда как прежние лидеры региона, такие как Индия, Индонезия и Южная Корея, сдали свои позиции.

 
Динамика распределения источников спама по странам (TOP 10)

Среди регионов, из которых рассылается спам, Азия по-прежнему лидирует. За год показатель этого региона вырос на 11,2% и по итогам года превысил 50% — таким образом, половина всей мусорной почты в мире рассылается из Азии.

 
Распределение источников спама по регионам, 2012

 
Распределение источников спама по регионам, 2011

Благодаря резко выросшему вкладу США в рассылку спама среди регионов на второе место в рейтинге вышла Северная Америка (15,8%), доля которой в прошлом году составляла всего 2%. В то же время из Латинской Америки (11,8%) спама стало рассылаться меньше на 8%.

 
Доля спама, рассылаемого из Северной Америки и Латинской Америки (январь — декабрь 2012)

Сдала свои позиции и Европа. В 2012 году суммарно из Западной и Восточной Европы было разослано 15,1% спама, это почти вдвое меньше, чем в 2011 году (30%).

Вредоносные вложения в почте

Несмотря на снижение доли спама в почте, доля писем с вредоносными вложениями понизилась незначительно и составила 3,4%. Это очень большое значение, учитывая, что этот показатель включает только письма с вредоносными вложениями, тогда как в почте распространяется и спам со ссылками на вредоносные сайты.

Наиболее распространенным вредоносным вложением в 2012 году был Trojan-Spy.HTML.Fraud.gen - он с большим отрывом лидировал первые три квартала. В четвертом квартале в лидеры вышли Trojan-Spy.Win32.Zbot.fsfe и Trojan-PSW.Win32.Tepfer.cfwf. Эти три вредоносные программы созданы для кражи пользовательских аккаунтов (логина и пароля). При этом Fraud.gen и Zbot (ZeuS) нацелены только на пароли от финансовых и платежных систем, Tepfer же ворует и другие пароли.

 
TOP 10 вредоносных программ в почте

На втором и третьем местах рейтинга оказались почтовые черви. Такое большое количество червей обусловлено тем, что, попав на компьютеры, они начинают активно распространять себя по адресам из адресных книг пользователей. Такие черви особенно распространены в странах Азии, где люди часто используют пиратское программное обеспечение и не обновляют антивирусные базы. В черве Bagle, помимо основного функционала, есть возможность устанавливать на зараженную машину различные программы.

 
Срабатывание почтового антивируса — распределение по странам

Наибольшее количество срабатываний почтового антивируса в 2012 пришлось на США. Но в некоторые месяцы лидировала Германия, занявшая в итоге второе место. Третье место занимает Великобритания. Россия заняла лишь девятую позицию (в то время как 2011 году она занимала первое место).

Интересно, что доля писем с вредоносными вложениями, отправленных американским пользователям, выросла одновременно с увеличением доли распространяемого из США спама. Количество вредоносных писем, нацеленных на китайских пользователей, тоже увеличилось. Скорее всего, распространяемые таким образом зловреды, помимо прочего функционала, загружали на компьютеры пользователей спам-боты. В результате зараженные компьютеры попадали в ботнет и начинали рассылать спам.

Фишинг

 
Распределение по категориям TOP 100 организаций, атакованных фишерами

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Чаще всего в 2012 фишеры атаковали различные социальные сети (24,5%). Больше всего атак пришлось на социальную сеть Facebook. Украденные аккаунты используются злоумышленниками в основном для рассылки спама и вредоносных программ по контакт-листу пользователя социальной сети.

Количество фишинговых атак на финансовые организации снизилось по сравнению с прошлым годом, но по-прежнему остается высоким (22,9%). На третьем месте находятся онлайн-магазины и аукционы (18,4%), получив доступ к аккаунтам которых фишеры могут добраться до данных кредитных карт пользователей.

На четвертом месте с довольно большой долей (14,1%) находятся поисковые системы. Так как многие поисковые системы, такие как Google или Mail.ru, являются крупными порталами, на них существует множество различных дополнительных сервисов для пользователей. Эти аккаунты и привлекают мошенников.

 
Распределение хостингов фишинговых сайтов по странам

Кроме России и Индии, занявших четвертое и шестое места соответственно, в TOP 10 попали только страны с развитой экономикой.

Почти все страны из списка имеют развитые системы онлайн-банкинга, в них большое число пользователей социальных сетей. И именно социальные сети и финансовые и платежные системы чаще всего атакуют фишеры. Хотя хостинг фишинговых сайтов не обязательно должен быть в той стране, пользователей которой атакуют фишеры. Но есть один нюанс: фишеры, как правило, пытаются сделать название своего поддельного сайта максимально похожим на название настоящего ресурса (к примеру, заменяют одну букву из названия настоящего сайта), чтобы пользователь не заметил, что попал на мошенническую страницу. Чтобы сайт действительно выглядел похожим, доменные зоны сайта-подделки и настоящего сайта тоже должны совпадать. Возможно, этим и объясняется такое распределение доменных зон.

Интересно, что 3 страны, в которых расположено больше всего фишинговых сайтов, — США, Германия и Англия — являются также странами, в которых пользователям рассылается наибольшее количество писем с вредоносными вложениями.

Заключение

В 2012 году доля спама весь год уменьшалась, в течение последнего квартала процент спама в почте не превышал 70. Это объясняется постепенным уходом из спама рекламы легальных товаров и услуг на более удобные легальные платформы. Однако говорить о том, что скоро спама не останется, увы, не приходится: вредоносный спам, мошенничество и реклама нелегальных товаров просто не смогут мигрировать на легальные платформы в силу своего криминального характера. Мы ожидаем, что в следующем году уменьшение доли спама будет небольшим.

В 2012 году значительно возросла доля спама, рассылаемого из США и Китая. Когда-то эти две страны уже были лидерами среди стран — источников спама, но после принятия антиспамовых законов и закрытия ботнетов мусорной почты из этих стран стало рассылаться значительно меньше. Очевидно, спамеры все-таки хотят использовать мощные вычислительные ресурсы США и Китая и организуют в этих странах новые ботнеты.

Наиболее распространенными вредоносными программами в 2012 году стали программы, занимающиеся кражей логинов и паролей пользователей. Основной упор делался на логины и пароли к финансовым платежным аккаунтам, но злоумышленников интересовали и другие виды паролей: к аккаунтам социальных сетей, почты и других сервисов.

Количество вредоносных писем оставалось высоким в течение всего года. Злоумышленники подделывают все больше различных легитимных уведомлений. В такой ситуации мы в очередной раз хотим напомнить пользователям: получив письмо, необходимо убедиться, что оно действительно пришло с заявленного ресурса; нельзя переходить по ссылкам в подозрительных письмах И очень важно своевременно обновлять программное обеспечение.

НОВОЕ НА САЙТЕ