Спам в третьем квартале 2013 года

Спам в третьем квартале 2013 года

В третьем квартале 2013 года «Лаборатория Касперского» отметила снижение общего уровня спама в почтовом трафике на 2,4%. Однако итоговый показатель в 68,3% всего лишь на 0,3% ниже, чем среднее значение за первое полугодие, поэтому говорить о тенденции стабильного уменьшения доли спама в почте пока не приходится. Кроме того, за период с июля по сентябрь в 3 раза увеличилась доля фишиновых писем, а также заметно вырос уровень сообщений с вредоносными вложениями – до 3,9%, что в полтора раза больше по сравнению с предыдущим периодом.

Как заметили аналитики «Лаборатории Касперского», наиболее креативными в третьем квартале 2013 года оказались спамеры, продвигающие, пожалуй, самый известный товар из спамерской рекламы – средства для повышения потенции. В письмах подобной тематики использовались как трюки для обхода фильтров, так и приемы социальной инженерии.

К примеру, в одной из рассылок спамеры предприняли следующую хитрость: в заголовке письма они указывали слово, которое выглядело похожим на Viagra, вот только составлено это слово было из самых разных символов, использующихся, в том числе, в очень редких и даже мертвых языках. Сочетая сотни разных знаков, цепляющее глаз слово можно записать сотнями миллионов способов – и каждый из этих наборов символов не вызовет подозрений у спам-фильтров, а получатель легко узнает рекламируемый таким образом товар.   

 Обнаруженные «Лабораторией Касперского» вредоносные письма в третьем квартале 2013 года в основном имитировали рассылки с новостных ресурсов, благо поводов для этого было много: и рождение ребенка у королевской четы Великобритании, и охота ФБР за Эдвардом Сноуденом, и авария на железной дороге в Испании. Ссылки во всех таких письмах предсказуемо вели на взломанные сайты, которые перенаправляли пользователя на страницу с одним из самых популярных наборов эксплойтов – Blackhole. В случае обнаружения уязвимости этот эксплойт загружал на компьютер пользователя сразу несколько вредоносных программ, включая троянцев-шпионов, ворующих персональные данные пользователя.

В то же время лидером рейтинга наиболее распространенных в почтовом трафике вредоносных программ в третьем квартале с большим отрывом стал троянец Spy.HTML.Fraud.gen, который представляет собой HTML-страницу, имитирующую регистрационную форму сервиса онлайн-банкинга. С помощью этого зловреда мошенники крадут финансовую информацию пользователей.

Третий квартал 2013 года стал рекордным по количеству коротких спам-писем – их доля достигла 80% в общем почтовом трафике. На протяжении всего года эксперты «Лаборатории Касперского» отмечали, что с каждым кварталом писем размером не более одного килобайта становится все больше. И третий квартал подтвердил эту динамику. Сегодня большинство спам-писем практически не содержит текста, спамеры размещают только ссылку, которая, как правило, ведет на сайт-редиректор или на сервис коротких ссылок. Такие письма, с одной стороны, усложняют работу спам-фильтрам, а с другой, из-за малого размера могут быть очень быстро разосланы в огромных количествах.

Что касается фишинга, то в течение июля, августа и сентября 2013 года злоумышленники традиционно чаще всего подделывали уведомления различных социальных сетей. Помимо этого, в центр их внимания попали почтовые и поисковые сервисы. Суммарно на эти три категории приходится более 60% всех фишерских атак из TOP-100 атакуемых организаций. Эта внушительная цифра подтверждает, что монетизация фишинга во многом происходит за счет продажи украденных аккаунтов, которые, в свою очередь, могут быть использованы для рассылки спама по контакт-листу.

Лидерами среди стран, из которых  рассылается спам, по итогам третьего квартала 2013 года по-прежнему остаются Китай (-0,9%), США (+1,2%) и Южная Корея (+2,1%). В совокупности из этих трех стран рассылается более 55% всего спама в мире.

В свою очередь, Россия увеличила свою долю в этом рейтинге в полтора раза и в итоге заняла пятое место. Любопытно, что на фоне увеличения количества спама из России снизилось количество нежелательных сообщений, рассылаемых из бывших союзных республик – Белоруссии (-0,9%), Украины (-0,9%) и Казахстана (-1,5%), – которые по итогам прошлого квартала в этом рейтинге обогнали Россию. Это может быть связано, например, с тем, что вместо одного ботнета спамеры, ответственные за какие-то довольно крупные рассылки, начали использовать другой.

«В третьем квартале 2013 года спамеры активно использовали старые и новые трюки для обхода спам-фильтров и приемы социальной инженерии, чтобы заинтересовать пользователя и заставить его пройти по нужной ссылке, в том числе вредоносной. Несмотря на всевозможные хитрые уловки злоумышленников пользователей не должны вводить в заблуждение уведомления от различных сервисов, требующие ввести свои конфиденциальные данные на специальной веб-странице, или отдельные ссылки в теле письма от незнакомых или подозрительных отправителей», – отмечает Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru