Спам в третьем квартале 2013 года

В третьем квартале 2013 года «Лаборатория Касперского» отметила снижение общего уровня спама в почтовом трафике на 2,4%. Однако итоговый показатель в 68,3% всего лишь на 0,3% ниже, чем среднее значение за первое полугодие, поэтому говорить о тенденции стабильного уменьшения доли спама в почте пока не приходится. Кроме того, за период с июля по сентябрь в 3 раза увеличилась доля фишиновых писем, а также заметно вырос уровень сообщений с вредоносными вложениями – до 3,9%, что в полтора раза больше по сравнению с предыдущим периодом.

Как заметили аналитики «Лаборатории Касперского», наиболее креативными в третьем квартале 2013 года оказались спамеры, продвигающие, пожалуй, самый известный товар из спамерской рекламы – средства для повышения потенции. В письмах подобной тематики использовались как трюки для обхода фильтров, так и приемы социальной инженерии.

К примеру, в одной из рассылок спамеры предприняли следующую хитрость: в заголовке письма они указывали слово, которое выглядело похожим на Viagra, вот только составлено это слово было из самых разных символов, использующихся, в том числе, в очень редких и даже мертвых языках. Сочетая сотни разных знаков, цепляющее глаз слово можно записать сотнями миллионов способов – и каждый из этих наборов символов не вызовет подозрений у спам-фильтров, а получатель легко узнает рекламируемый таким образом товар.   

 Обнаруженные «Лабораторией Касперского» вредоносные письма в третьем квартале 2013 года в основном имитировали рассылки с новостных ресурсов, благо поводов для этого было много: и рождение ребенка у королевской четы Великобритании, и охота ФБР за Эдвардом Сноуденом, и авария на железной дороге в Испании. Ссылки во всех таких письмах предсказуемо вели на взломанные сайты, которые перенаправляли пользователя на страницу с одним из самых популярных наборов эксплойтов – Blackhole. В случае обнаружения уязвимости этот эксплойт загружал на компьютер пользователя сразу несколько вредоносных программ, включая троянцев-шпионов, ворующих персональные данные пользователя.

В то же время лидером рейтинга наиболее распространенных в почтовом трафике вредоносных программ в третьем квартале с большим отрывом стал троянец Spy.HTML.Fraud.gen, который представляет собой HTML-страницу, имитирующую регистрационную форму сервиса онлайн-банкинга. С помощью этого зловреда мошенники крадут финансовую информацию пользователей.

Третий квартал 2013 года стал рекордным по количеству коротких спам-писем – их доля достигла 80% в общем почтовом трафике. На протяжении всего года эксперты «Лаборатории Касперского» отмечали, что с каждым кварталом писем размером не более одного килобайта становится все больше. И третий квартал подтвердил эту динамику. Сегодня большинство спам-писем практически не содержит текста, спамеры размещают только ссылку, которая, как правило, ведет на сайт-редиректор или на сервис коротких ссылок. Такие письма, с одной стороны, усложняют работу спам-фильтрам, а с другой, из-за малого размера могут быть очень быстро разосланы в огромных количествах.

Что касается фишинга, то в течение июля, августа и сентября 2013 года злоумышленники традиционно чаще всего подделывали уведомления различных социальных сетей. Помимо этого, в центр их внимания попали почтовые и поисковые сервисы. Суммарно на эти три категории приходится более 60% всех фишерских атак из TOP-100 атакуемых организаций. Эта внушительная цифра подтверждает, что монетизация фишинга во многом происходит за счет продажи украденных аккаунтов, которые, в свою очередь, могут быть использованы для рассылки спама по контакт-листу.

Лидерами среди стран, из которых  рассылается спам, по итогам третьего квартала 2013 года по-прежнему остаются Китай (-0,9%), США (+1,2%) и Южная Корея (+2,1%). В совокупности из этих трех стран рассылается более 55% всего спама в мире.

В свою очередь, Россия увеличила свою долю в этом рейтинге в полтора раза и в итоге заняла пятое место. Любопытно, что на фоне увеличения количества спама из России снизилось количество нежелательных сообщений, рассылаемых из бывших союзных республик – Белоруссии (-0,9%), Украины (-0,9%) и Казахстана (-1,5%), – которые по итогам прошлого квартала в этом рейтинге обогнали Россию. Это может быть связано, например, с тем, что вместо одного ботнета спамеры, ответственные за какие-то довольно крупные рассылки, начали использовать другой.

«В третьем квартале 2013 года спамеры активно использовали старые и новые трюки для обхода спам-фильтров и приемы социальной инженерии, чтобы заинтересовать пользователя и заставить его пройти по нужной ссылке, в том числе вредоносной. Несмотря на всевозможные хитрые уловки злоумышленников пользователей не должны вводить в заблуждение уведомления от различных сервисов, требующие ввести свои конфиденциальные данные на специальной веб-странице, или отдельные ссылки в теле письма от незнакомых или подозрительных отправителей», – отмечает Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».