Разделы

Интернет Безопасность Пользователю

В первом квартале 2013 г. доля фишинговых писем в почтовом трафике сократилась более чем в 4 раза

По итогам первого квартала 2013 г. аналитики «Лаборатории Касперского» зафиксировали небольшой рост (+0,53%) объёма нежелательной корреспонденции в мировом почтовом трафике. В результате общая доля спама составила 66,5%. Также незначительно увеличился уровень вредоносных вложений в спам-письмах — по прошествии первых трёх месяцев этот показатель составил 3,3%. А вот доля фишинговых писем уменьшилась — в 4,25 раза — и составила 0,004%.

В начале года спамеры эксплуатировали наиболее громкие мировые события — смерть президента Венесуэлы Уго Чавеса, отречение от престола Папы Римского Бенедикта XVI и избрание нового понтифика — для привлечения внимания к письмам с вредоносными URL. При этом большая часть таких сообщений была замаскирована под новостные рассылки известных информационных агентств (например, CNN или BBC), а любопытство пользователей злоумышленники подогревали обещаниями «сенсационных» фотографий и видеороликов, рассказали CNews в «Лаборатории Касперского».

Также в первом квартале 2013 г. злоумышленники активно использовали возможности легальных сервисов для обхода спам-фильтров. В частности, с их помощью маскировали реальный адрес, на который вела содержащаяся в сообщениях вредоносная ссылка. Такой трюк аналитики «Лаборатории Касперского» обнаружили в стандартной для спама рекламе медикаментов для мужчин. Злоумышленники сначала воспользовались сервисом коротких ссылок от Yahoo, а затем обработали полученную с его помощью ссылку в онлайн-переводчике Google Translate, который может выполнять перевод веб-страницы по указанной пользователем ссылке и генерировать собственную ссылку на результат перевода. Сочетание этих методов сделало каждую ссылку в спам-рассылке уникальной, а кроме того, использование двух всемирно известных доменов помогало сделать ссылку достаточно «авторитетной» в глазах получателя спама, отметили эксперты компании.

Спамеры стали использовать комбинации из нескольких приемов, в том числе довольно известных, но со временем утративших популярность. Например, в спаме вновь стал встречаться приём замусоривания содержимого письма, известный как «белый текст». По сути, это добавление в письмо случайных кусков текста (в первом квартале 2013 года ими, в основном, были фрагменты новостей), оформленных светло-серым шрифтом на сером фоне или отделённых от основного рекламного текста большим количеством переносов строки. Такой приём рассчитан, прежде всего, на то, что контентные спам-фильтры примут нежелательное письмо за новостную рассылку. Кроме того, использование случайных фрагментов новостей делает каждое письмо спам-рассылки уникальным, что затрудняет его детектирование.

Среди стран–источников спама в первом квартале 2013 г. Китай и США по-прежнему остаются в числе абсолютных лидеров, набрав 24,3% и 17,7% соответственно. На третье место по итогам первых месяцев этого года с довольной большой долей (9,6%) поднялась Южная Корея. Примечательно, что спам из этих стран нацелен на разные регионы. Так, большинство китайского спама рассылается в Азию, спам из США ориентирован преимущественно на Северную Америку, а спам из Кореи направлен в основном на Европу.


Распределение источников спама по странам, первый квартал 2013 года

Бразилия (2,2%), занимавшая по итогам прошлого года пятое место в списке, опустилась на девятое: доля исходящего оттуда спама сократилась почти в два раза. Это связано с тем, что в конце 2012 г. Бразилия на уровне страны закрыла 25 TCP-порт, который является портом по умолчанию для исходящего SMTP-трафика. Именно через этот порт идет большинство исходящего спама с зараженных компьютеров пользователей. Закрытие порта 25 является стандартной практикой для интернет-провайдеров, но в данном случае проблема была решена на более высоком уровне, пояснили в «Лаборатории Касперского».

В первую пятерку стран вошли также Индия (4,4%), занимавшая третье место по итогам прошлого года, и Тайвань — его результат вырос более чем в два раза, что позволило стране подняться с десятого места на пятое.

Россия в этом рейтинге за начало года прибавила 1,2% и в результате с показателем в 3,2% заняла 7-ое место, поднявшись на одну строчку вверх по сравнению с последним кварталом 2012 г.

Азия по-прежнему является регионом, лидирующим по количеству рассылаемого спама — на нее приходится 51,8% всего исходящего спама. За ней идет Северная Америка с показателем 18,3%.


Распределение источников спама по регионам, первый квартал 2013 года

Выросла доля спама, рассылаемого из Восточной Европы (11,1%). Хотя в первую десятку стран-источников спама входит только одна восточноевропейская страна — Россия, во второй десятке таких стран уже половина.

Вклад в мировые спам-потоки Латинской Америки уменьшился за счет Бразилии, Перу и Аргентины, доля которых в этом квартале снизилась настолько, что они не вошли в топ-20.


Топ-10 вредоносных программ, распространенных в почте, первый квартал 2013 года

Что такое MBSE-подход к проектированию и каковы его преимущества?
ИТ-тренды

По итогам первого квартала 2013 г. наиболее популярной у злоумышленников по-прежнему остается вредоносная программа Trojan-Spy.HTML.Fraud.gen, которая представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.

На втором месте почтовый червь семейства Bagle, который может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

На третье место в первом квартале 2013 г. вышел Trojan-Banker.HTML.Agent.p. Как и Fraud.gen, данный зловред выполнен в виде html-страницы, копирующей регистрационные формы сервисов онлайн-банкинга или других интернет-сервисов.

Помимо нескольких старых почтовых червей, постоянно курсирующих в интернете, в топ-10 распространяемых в письмах программ вошли Trojan.Win32.Bublik.aknd и несколько бэкдоров семейства Androm.

Эксперты подвели итоги в области ИБ и сделали прогноз на 2022 г.: в тренде будет гибридная работа
ИТ в госсекторе

Bublik собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, троян может просматривать формы в браузерах Mozilla Firefox и Google Chrome на предмет сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

Программы типа backdoor позволяют злоумышленнику незаметно управлять зараженным компьютером, например, загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета. В большинстве случаев бэкдоры семейства Androm распространялись в поддельных письмах, присланных от имени сервисов Booking.com, DHL, British Airways и других. Подобным образом распространяются и троянские программы семейства ZeuS/Zbot.

В этом квартале снова участились фишинговые атаки на социальные сети (37,6%), злоумышленники активно подделывали свои письма под уведомления Facebook и LinkedIn. На втором месте находятся поисковики (16,2%). Такую высокую позицию поисковых систем в «Лаборатории Касперского» объясняют тем, что крупные компании-владельцы поисковиков также предлагают множество других сервисов, предоставляющих функционал виртуального дискового пространства, почты, социальных сетей и многое другое. Часто ключом от всех сервисов является один аккаунт, поэтому поисковые системы представляют собой привлекательную мишень для киберпреступников.

На третьем месте находятся финансовые и платежные организации (14,2%). В отличие от социальных сетей, где большая часть атак приходится на одну-две организации, распределение атак на банки более равномерно: атакуется огромное число различных банков, как крупных и всемирно известных, так и небольших и локальных.


Распределение хостингов фишинговых сайтов по странам, первый квартал 2013 года

Что касается стран, в которых хостятся фишинговые сайты, то тут на первом месте находятся США (25,4%), на втором и третьем — Великобритания (8,2%) и Германия (7,7%). Следом за ними идет Россия (6%), а замыкает первую пятерку Индия (5,2%).

Примечательно, что в топ-10 стран, в которых расположено больше всего фишинговых сайтов, вошли Канада (4,5%) и Австралия (3,9%). Обе эти страны считаются довольно безопасными в плане киберпреступности, а количество исходящего оттуда спама минимально (менее 1%).

«В начале 2013 года доля нежелательной корреспонденции в почтовом трафике хоть и колебалась от месяца к месяцу, но в среднем за квартал практически не изменилась по сравнению с предыдущим аналогичным периодом. Мы ожидаем, что в дальнейшем доля спама останется на нынешнем уровне или даже немного возрастет, так как в последнее время участились случаи очень крупных многомиллионных рассылок», — прокомментировала итоги квартала Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».

Татьяна Короткова

Подписаться на новости Короткая ссылка