Kaspersky Security Bulletin: Ewolucja spamu 2009

  1. Kaspersky Security Bulletin 2009. Ewolucja szkodliwych program贸w
  2. Kaspersky Security Bulletin 2009. Statystyki
  3. Kaspersky Security Bulletin: Ewolucja spamu

Podsumowanie roku

  • W 2009 roku odsetek spamu w ruchu pocztowym wynosi艂 艣rednio 85,2%.
  • Najwi臋kszym spamerem by艂y Stany Zjednoczone (16%). Do g艂贸wnych 藕r贸de艂 spamu nale偶a艂y r贸wnie偶 kraje azjatyckie. Odsetek wiadomo艣ci phishingowych w ruchu pocztowym wynosi艂 0,86%.
  • Zainfekowane za艂膮czniki znaleziono w 0,85% e-maili.
  • Najwi臋kszy wp艂yw na rozk艂ad kategorii spamu wywar艂 kryzys gospodarczy.
  • W obr臋bie spamu rozpowszechnione by艂y oszustwa SMS.
  • Po raz pierwszy spam zawiera艂 odsy艂acze do filmik贸w na YouTube.
  • W celu obej艣cia filtr贸w spamerzy po raz kolejny stosowali zniekszta艂cenia obrazu.
  • Spamerzy nadal ulepszali wykorzystywanie HTML-a w celu zamaskowanie odsy艂aczy w wiadomo艣ciach spamowych.
  • Spamerzy nadal wykorzystywali naj艣wie偶sze wydarzenia oraz nazwiska znanych os贸b do zwabienia u偶ytkownik贸w Internetu.
  • Spamerzy wykorzystali popularno艣膰 portali spo艂eczno艣ciowych.

Odsetek spamu w ruchu pocztowym w 2009 roku

Odsetek spamu w ruchu pocztowym wynosi艂 w 2009 roku 艣rednio 85,2%, czyli o 3,1% wi臋cej ni偶 rok wcze艣niej. Najwy偶szy odsetek spamu (93%) zosta艂 odnotowany 22 lutego, najni偶szy natomiast 26 kwietnia (72,8%).



Odsetek spamu w ruchu pocztowym w 2009 roku

W ci膮gu roku r贸偶nica w miesi臋cznym udziale procentowym spamu w ruchu pocztowym utrzyma艂a si臋 w granicach 5%. 艢redni miesi臋czny odsetek waha艂 si臋 od 82,6% (grudzie艅) do 87,2% (luty). W drugiej po艂owie roku odsetek spamu by艂 bardziej stabilny, a w lipcu i sierpniu r贸偶nica nie przekroczy艂a 2,5%. Podobnie jak rok wcze艣niej, ilo艣膰 spamu zmniejszy艂a si臋 w grudniu. W 2008 roku r贸偶nica w udziale procentowym spamu by艂a znacznie wi臋ksza: odsetek spamu waha艂 si臋 od 73,7% go 90,7% w r贸偶nych miesi膮cach. Czy to oznacza, 偶e poziom spamu w ruchu pocztowym ustabilizowa艂 si臋 na poziomie 85% - czas poka偶e.

殴r贸d艂a spamu

 

殴r贸d艂a spamu

W 2009 roku Stany Zjednoczone stanowi艂y g艂贸wne 藕r贸d艂o spamu w rosyjskim Internecie. Na drugim miejscu uplasowa艂a si臋 Rosja, natomiast na trzecim Brazylia. W 2008 roku w czo艂贸wce spamer贸w znajdowa艂a si臋 Rosja, Stany Zjednoczone i Hiszpania. Jak ju偶 wspomnieli艣my wcze艣niej, w 2009 roku mniej spamu pochodzi艂o z Europy Zachodniej, wi臋cej natomiast z kraj贸w Azji i Ameryki 艁aci艅skiej.

Poni偶szy wykres pokazuje zmiany w trendach rozprzestrzeniania spamu w r贸偶nych pa艅stwach w 2009 roku:

 

殴r贸d艂a spamu (trendy w spamie wed艂ug kwarta艂u)

Wykres pokazuje gwa艂towny wzrost liczby wiadomo艣ci wysy艂anych ze Stan贸w Zjednoczonych. Warto zauwa偶y膰, 偶e wzrost ten nast膮pi艂 w tym samym czasie co skok liczby zainfekowanych ameryka艅skich domen, o kt贸rym wspominali艣my w trzecim raporcie kwartalnym firmy Kaspersky Lab.

Spam wed艂ug kategorii

 

Rozk艂ad spamu wed艂ug kategorii, 2009

Pi臋膰 najpopularniejszych kategorii spamu w 2009 roku:

  1. Lekarstwa oraz produkty i us艂ugi zwi膮zane ze zdrowiem - 18,9% (-4,7% w por贸wnaniu z 2008 rokiem)
  2. Edukacja - 15,9% (+3,9%)
  3. Us艂ugi reklamy elektronicznej- 11,7% (+6,8%)
  4. Inne towary i us艂ugi- 11,2% (-4,9%)
  5. Podrabiane towary luksusowe - 8,5% (-0,6%)

W przeciwie艅stwie do udzia艂u procentowego spamu, nast膮pi艂y znacz膮ce przetasowania w kategoriach spamu.

 

Rozk艂ad kategorii spamu w pierwszej po艂owie 2009

 

Rozk艂ad kategorii spamu w drugiej po艂owie 2009 roku

Jak wida膰 na diagramach, w drugiej po艂owie roku kategoria Edukacja podwoi艂a sw贸j udzia艂 w spamie, a udzia艂 kategorii Podr贸偶e i turystyka zwi臋kszy艂 si臋 pond 2,5 razy. Swoj膮 pozycj臋 stracili natomiast liderzy pierwszej po艂owy roku.

Spam w czasach kryzysu

Kszta艂towanie si臋 kryzysu gospodarczego mo偶na prze艣ledzi膰 na podstawie fluktuacji w r贸偶nych kategoriach spamu w 2009 roku. Jak ju偶 pisali艣my wcze艣niej, od pocz膮tku kryzysu mia艂 miejsce spadek ilo艣ci spamu reklamuj膮cego towary i us艂ugi dla sektora SMB przy jednoczesnym wzro艣cie ilo艣ci spamu przest臋pczego i reklamuj膮cego us艂ugi spamer贸w.

Odsetek spamu w sektorze rzeczywistej gospodarki zacz膮艂 spada膰 w sierpniu 2008 roku (mimo 偶e w ci膮gu roku mia艂y miejsce r贸wnie偶 wzrosty ilo艣ci spamu) i tendencja ta utrzyma艂a si臋 do maja 2009 roku - gdy kryzys osi膮gn膮艂 punkt krytyczny. Wi膮za艂o si臋 to z faktem, 偶e na skutek kryzysu klienci tego rodzaju spamu - reprezentuj膮cy ma艂e i 艣rednie przedsi臋biorstwa - zostali wyparci z rynku lub obci臋li wydatki na reklam臋 i zaprzestali zamawiania spamu. Spamerzy zacz臋li aktywnie poszukiwa膰 nowych klient贸w. Ilo艣膰 reklam oferuj膮cych us艂ugi spamerskie w niechcianych wiadomo艣ciach masowych gwa艂townie wzros艂a i w kwietniu 2009 osi膮gn臋艂a poziom 19,7%, chocia偶 wcze艣niej nigdy nie przekroczy艂a 4-5%.

Dop贸ki starzy klienci nie zacz臋li wznawia膰 swoich zam贸wie艅, spamerzy musieli wymy艣li膰, w jaki spos贸b mog膮 p艂aci膰 za utrzymywanie serwer贸w i op艂aty botnetowe. Skorzystali z tak zwanych program贸w partnerskich lub stowarzyszonych.

Internetowe programy partnerskie s膮 form膮 marketingu internetowego, powszechnie wykorzystywanego w SEO (search engine optimization - serii dzia艂a艅 podj臋tych w celu poprawy pozycji strony internetowej w wynikach wyszukiwania przy u偶yciu przegl膮darki internetowej) oraz w promowaniu towar贸w i us艂ug. Celem program贸w partnerskich jest przyci膮gni臋cie klient贸w z innych stron internetowych. Dzia艂aj膮 w nast臋puj膮cy spos贸b: partner umieszcza na w艂asnej stronie baner lub odsy艂acz do strony klienta. Je偶eli osoba odwiedzaj膮ca stron臋 partnera kliknie taki odsy艂acz i dokona zakupu, partner otrzyma cz臋艣膰 zysku zarobionego przez sklep. W niekt贸rych przypadkach, partnerzy dokonaj膮 p艂atno艣ci, nawet je艣li potencjalny nabywca jedynie odwiedzi stron臋 internetow膮 klienta.

Umowy partnerskie s膮 obecnie bardzo popularne w艣r贸d przest臋pczych biznes贸w internetowych. Za po艣rednictwem takich program贸w sprzedawane s膮 bez recepty lekarstwa, kt贸re musz膮 by膰 przepisane przez lekarza, oraz podrabiane luksusowe towary i tanie oprogramowanie. Takie podej艣cie marketingowe jest r贸wnie偶 powszechne w bran偶y pornograficznej: partner b臋dzie mia艂 udzia艂 w zysku od ka偶dego u偶ytkownika, kt贸ry odwiedzi stron臋 internetow膮. Co wi臋cej, oszu艣ci stosuj膮 podobne metody, aby zwabi膰 u偶ytkownik贸w Internetu na strony internetowe z fa艂szywym oprogramowaniem antywirusowym oraz na strony, kt贸rych w艂a艣ciciele zarabiaj膮 pieni膮dze na oszustwie wykorzystuj膮cym wiadomo艣ci tekstowe.

Spamer, kt贸ry nale偶y do programu partnerskiego, nie otrzymuje zap艂aty za ka偶dy milion wys艂anych e-maili, ale za ka偶dego klienta, kt贸ry dokona zakup贸w po otrzymaniu wiadomo艣ci spamowej.

Wykres poni偶ej pokazuje wyra藕ny zwi膮zek pomi臋dzy ilo艣ci膮 spamu generowanego w ramach program贸w partnerskich (w takich kategoriach, jak Lekarstwa oraz towary i us艂ugi zwi膮zane ze zdrowiem, Podrabiane towary znanych projektant贸w, Tre艣ci dla doros艂ych, Komputery i Internet) oraz tradycyjnego spamu, za kt贸ry klient p艂aci spamerom od wysy艂ek reklamuj膮cych jego towary lub us艂ugi (dla nast臋puj膮cych kategorii spamu: Edukacja, Inne towary i us艂ugi, Podr贸偶owanie i turystyka, Nieruchomo艣ci, Us艂ugi prawne i audytowi oraz Us艂ugi drukarskie). Widzimy r贸wnie偶, 偶e spamerzy reklamowali swoje w艂asne us艂ugi, gdy nie mieli wystarczaj膮co du偶o zam贸wie艅.

 

Odsetek tradycyjnego spamu, spamu generowanego w ramach program贸w partnerskich oraz spamu reklamuj膮cego us艂ugi spamer贸w

Procesy zaznaczone na wykresie mo偶na 艂atwo por贸wna膰 z rozwojem kryzysu finansowego. Z regu艂y, firmy, kt贸re zamawiaj膮 spam poprzez program partnerski, to du偶e struktury przest臋pcze, w przeciwie艅stwie do sektora SMB, kt贸ry zwykle sk艂ada bezpo艣rednie zam贸wienia na wysy艂ki spamowe. Jak wida膰 na wykresie, w okresie od lutego do maja ilo艣膰 tradycyjnego spamu zmniejszy艂a si臋, osi膮gaj膮c najni偶szy poziom w maju. Wed艂ug ekspert贸w, maj jest r贸wnie偶 miesi膮cem, w kt贸rym kryzys osi膮gn膮艂 punkt krytyczny. Od maja 2009 roku ilo艣膰 spamu reklamuj膮cego towary i us艂ugi oferowane przez sektor SMB zacz臋艂a wzrasta膰, podczas gdy ilo艣膰 spamu wygenerowanego w ramach program贸w partnerskich odnotowa艂a spadek, podobnie jak ilo艣膰 reklam us艂ug spamerskich. W grudniu wszystkie te wska藕niki mniej wi臋cej powr贸ci艂y do poziomu sprzed kryzysu.

Oszuka艅czy spam

W drugiej po艂owie 2009 roku ilo艣膰 spamu z kategorii Oszustwa komputerowe znacznie wzros艂a.



Kategoria spamu Oszustwa komputerowe w 2009 roku

Kategoria ta zawiera r贸wnie偶 spam phishingowy, tzw. szwindel nigeryjski, fa艂szywe powiadomienia o wygranych na loterii, oszustwa za po艣rednictwem wiadomo艣ci tekstowych oraz inne rodzaje oszustw.

Phishing

Ilo艣膰 wiadomo艣ci e-mail zawieraj膮cych odsy艂acze phishingowe znacznie spad艂a wiosn膮 2009 roku. Eksperci szacuj膮, 偶e kryzys osi膮gn膮艂 punkt krytyczny w艂a艣nie wiosn膮. Wzrost liczby e-maili phishingowych nast膮pi艂 w czasie, gdy 艣wiatowa gospodarka zacz臋艂a wychodzi膰 z kryzysu, czyli w sierpniu 2009 roku. 艢redni odsetek wiadomo艣ci w ruchu pocztowym wynosi艂 0,86%. Przewidywali艣my, 偶e trudny klimat gospodarczy spowoduje wzrost aktywno艣ci phisher贸w. Jednak nasze prognozy okaza艂y si臋 b艂臋dne. Wygl膮da na to, 偶e osoby stosuj膮ce socjotechnik臋 dosz艂y do wniosku, 偶e w okresie k艂opot贸w finansowych u偶ytkownicy b臋d膮 mniej sk艂onni ryzykowa膰 swoje oszcz臋dno艣ci. Gdy kryzys zacz膮艂 s艂abn膮膰, ludzie prawdopodobnie mieli wi臋cej 艣rodk贸w do dyspozycji i nie byli ju偶 tacy ostro偶ni. Naturalnie, trzeba r贸wnie偶 pami臋ta膰, 偶e ka偶dy projekt phishingowy wymaga pewnych nak艂ad贸w, dlatego 艂atwiej jest przeprowadzi膰 go w bardziej korzystnych warunkach gospodarczych.



Liczba e-maili z odsy艂aczami phishingowymi w ruchu pocztowym

W 2009 roku PayPal zn贸w by艂 najcz臋艣ciej atakowan膮 organizacj膮. Szkodliwi u偶ytkownicy nadal skupiali si臋 na elektronicznych systemach p艂atno艣ci. Drugim pod wzgl臋dem liczby atak贸w zasobem by艂 internetowy system aukcyjny eBay.

Na trzecim i czwartym miejscu znalaz艂y si臋 odpowiednio g艂贸wne ameryka艅skie banki, takie jak Bank of America i Chase. Chase znalaz艂 si臋 w pi膮tce najcz臋艣ciej atakowanych organizacji ju偶 drugi rok z rz臋du za spraw膮 du偶ych, ale kr贸tkotrwa艂ych atak贸w przeprowadzonych przez szkodliwych u偶ytkownik贸w. W 2009 roku najwi臋cej atak贸w na t臋 organizacj臋 mia艂o miejsce w sierpniu.

 

Organizacje atakowane przez phisher贸w w 2009 r.

Od p贸藕nego lata zacz臋艂o pojawia膰 si臋 wiele r贸偶nych rodzaj贸w e-maili phishingowych skierowanych do u偶ytkownik贸w popularnej gry MMORPG World of Warcraft. Zainteresowanie szkodliwych u偶ytkownik贸w wzbudzi艂y r贸wnie偶 konta na portalach spo艂eczno艣ciowych. Pod koniec roku g艂贸wnym celem phisher贸w sta艂 si臋 Facebook.

W ostatnich miesi膮cach 2009 roku ilo艣膰 phishingu w ruchu pocztowym niemal powr贸ci艂a do poziomu ze stycznia.

Oszustwa SMS w spamie

Opr贸cz phishingu, tzw. szwindlu nigeryjskiego oraz fa艂szywych powiadomie艅 o wygranych na loterii kategoria Oszustwa komputerowe zawiera艂a r贸wnie偶 wiadomo艣ci, kt贸rych nadawcy pr贸bowali nam贸wi膰 odbiorc贸w do wys艂ania kosztownych wiadomo艣ci tekstowych na numer o podwy偶szonej op艂acie. U偶ytkownicy, kt贸rzy padli ofiar膮 takiego oszustwa, z regu艂y nie otrzymali obiecanych us艂ug, mimo 偶e ich konta zosta艂y obci膮偶one wysok膮 kwot膮. Ten rodzaj spamu jest typowy dla Rosji i Ukrainy, nie wyst臋puje jednak w innych pa艅stwach. W innych pa艅stwach proces wydzier偶awiania lub inny spos贸b uzyskiwania kr贸tkich numer贸w jest o wiele bardziej z艂o偶ony. Osoby chc膮ce uzyska膰 kr贸tki numer musz膮 dostarczy膰 szczeg贸艂owe informacje osobowe, co pozwala odsia膰 spamer贸w i poci膮gn膮膰 ich do odpowiedzialno艣ci.

W poprzednim roku, gdy sztuczka ta dopiero zaczyna艂a by膰 stosowana, oszu艣ci wykorzystywali klasyczne metody socjotechniki: informowali odbiorc臋, 偶e co艣 wygra艂, grozili zamkni臋ciem konta lub oferowali "tanie" porno. W 2009 roku pojawi艂y si臋 bardziej tw贸rcze taktyki, stosowane w celu przekonania u偶ytkownik贸w do wys艂ania wiadomo艣ci tekstowych, niekiedy z przedziwnymi tematami. /p>

Do najgor臋tszych temat贸w nale偶a艂y "audionarkotyki" oraz mo偶liwo艣膰 zlokalizowania os贸b za po艣rednictwem ich telefon贸w kom贸rkowych.

Pierwszy temat wabi u偶ytkownik贸w plikiem mp3, kt贸ry rzekomo mo偶e wprowadzi膰 s艂uchacza w odmienny stan 艣wiadomo艣ci, podobny do tego, jaki mog膮 wywo艂a膰 narkotyki. W drugim oszu艣ci obiecuj膮 ustali膰 lokalizacj臋 osoby na podstawie jej numeru telefonu.

Dla wszystkich tych us艂ug spamerzy sugeruj膮, 偶eby u偶ytkownicy p艂acili poprzez wiadomo艣膰 tekstow膮. Jednak koszt wiadomo艣ci jest znacznie wy偶szy, ni偶 twierdz膮 (co jest typowe dla oszustwa z wiadomo艣ciami tekstowymi).

Po bli偶szym przyjrzeniu si臋 obie us艂ugi okaza艂y si臋 fa艂szywe. Prasa wielokrotnie ostrzega艂a, 偶e plik te nie s膮 w stanie wprowadzi膰 nikogo w odmienny stan 艣wiadomo艣ci. Jednak poci膮gni臋cie winnych do odpowiedzialno艣ci jest trudne, poniewa偶 na ich stronach internetowych znajduje si臋 specjalna sekcja "Zasady" (zwykle jest ona trudna do odnalezienia i zawiera ma艂o czytelny tekst napisany bardzo ma艂膮 czcionk膮 i w jasnym kolorze) zawieraj膮ca informacje o us艂ugach lub ich braku oraz rzeczywistych kosztach wys艂ania wiadomo艣ci tekstowych.

Poni偶ej przyk艂ad typowej wiadomo艣ci spamowej oferuj膮cej us艂ugi lokalizacji os贸b:

 

[tekst widniej膮cy na obrazku powy偶ej:
Witam! Rozpocz臋li艣my nowy projekt, dzi臋ki kt贸remu mo偶esz wy艣ledzi膰 dowolnego abonenta telefonii kom贸rkowej przy u偶yciu Internetu. Kliknij, aby dowiedzie膰 si臋 wi臋cej.
[odsy艂acz]
Z powa偶aniem, YANDEX&RAMBLER]

W sekcji "Zasady" na stronie oszusta znajduje si臋 poni偶szy tekst:

Zrzeczenie si臋 praw (a) U偶ytkownik korzysta z tego serwisu na w艂asne ryzyko. Us艂ugi s膮 dostarczane U偶ytkownikowi w postaci "takiej jak s膮". Korzystanie z us艂ug nie gwarantuje 偶adnej odpowiedzialno艣ci ze strony dostawcy serwisu, w艂膮czaj膮c bez ogranicze艅, odpowiedzialno艣ci za zgodno艣膰 wynik贸w z zapytaniem U偶ytkownika. (b) Strona internetowa jest gr膮, kt贸rej celem jest dostarczenie rozrywki. Wszystkie informacje zawarte na Stronie s膮 fikcyjne i nie powinny by膰 traktowane powa偶nie.

W sekcji "Zasady" mo偶emy r贸wnie偶 przeczyta膰, 偶e wiadomo艣ci tekstowe wysy艂ane w celu dokonania p艂atno艣ci za takie us艂ugi kosztuj膮 prawie 10 dolar贸w.

W niekt贸rych przypadkach, spamerzy prosz膮 u偶ytkownika, aby wys艂ali nie jedn膮, ale trzy kosztowne wiadomo艣ci, w zamian za uzyskanie dost臋pu do p艂atnych zasob贸w. Mimo wys艂ania wiadomo艣ci u偶ytkownik otrzymuje odsy艂acz do stron internetowych, kt贸re s膮 darmowe.

Obecnie wielu dostawc贸w telefonii kom贸rkowej dostarcza na 偶膮danie informacje o kosztach wysy艂ania wiadomo艣ci tekstowych na dowolny numer o podwy偶szonej op艂acie. Us艂uga ta mo偶e pom贸c ustrzec si臋 przed oszustwem. Jednak korzystaj膮 z niej tylko ostro偶ni u偶ytkownicy - tacy, kt贸rzy i tak nie daliby si臋 na nabra膰 na takie oszustwo. Co wi臋cej, dostawcy us艂ug telefonii kom贸rkowej dopiero zaczynaj膮 zajmowa膰 stanowisko wobec oszustw.

Na razie u偶ytkownicy s膮 zdani na siebie, musz膮 by膰 ostro偶ni i sprawdza膰 koszty wiadomo艣ci tekstowych wysy艂anych na kr贸tkie numery. Naturalnie nigdy nie nale偶y r贸wnie偶 wierzy膰 w to, co jest napisane w wiadomo艣ci spamowej.

Rodzaje i rozmiar wiadomo艣ci spamowych





Rozk艂ad r贸偶nych rodzaj贸w wiadomo艣ci spamowych w pierwszej i drugiej po艂owie 2009 roku

Rozk艂ad r贸偶nych rodzaj贸w wiadomo艣ci spamowych by艂 stosunkowo stabilny. Tak jak wcze艣niej, dominowa艂y wiadomo艣ci e-mail wykorzystuj膮ce czysty tekst - a ich odsetek znajdowa艂 si臋 w ci膮gu roku na niemal niezmiennym poziomie 45-46%.

Spam wykorzystuj膮cy tekst/HTML znalaz艂 si臋 na drugim mocnym miejscu, jeszcze bardziej umacniaj膮c swoj膮 pozycj臋 w drugiej po艂owie roku, gdy jego odsetek wzr贸s艂 z 31,6% do 39,1%.

Nast膮pi艂y pewne zmiany je偶eli chodzi o graficzne za艂膮czniki. W pierwszej po艂owie 2009 roku niekwestionowanym liderem w艣r贸d ro偶nych rodzaj贸w spamu graficznego by艂y wiadomo艣ci e-mail wykorzystuj膮ce obrazy JPEG. W po艂owie roku odsetek wiadomo艣ci spamowych wykorzystuj膮cych obrazy JPEG zacz膮艂 spada膰, a偶 w ko艅cu ust膮pi艂 miejsca obrazom w formacie GIF.

Wynika to z faktu, 偶e spamerzy cz臋sto wol膮 obrazy w formacie GIF dla grafiki, kt贸ra zawiera sam tekst.

Na przyk艂ad, obraz poni偶ej sk艂ada si臋 z trzech za艂膮cznik贸w graficznych: pierwszy z nich to zdj臋cie w formacie JPEG ukazuj膮ce sportowca i pigu艂ki, natomiast dwa kolejne s膮 w formacie GIF i zawieraj膮 tekst czarno bia艂y ("We respect your rights?") i szary ("If you wish?").

 

 

 

W rozk艂adzie wiadomo艣ci spamowych wed艂ug rozmiaru nie odnotowali艣my 偶adnych powa偶niejszych zmian:



Rozmiar wiadomo艣ci spamowych

Prawie po艂ow臋 spamu nadal stanowi膮 niewielkie wiadomo艣ci spamowe o rozmiarze nie wi臋kszym ni偶 5 KB. Przewa偶aj膮ca wi臋kszo艣膰 z nich to kr贸tkie e-maile zawieraj膮ce czysty tekst lub HTML. W艣r贸d nich znajduje si臋 garstka maili zawieraj膮cych grafik臋, maj膮cych rozmiar nieprzekraczaj膮cy 5KB, takich jak poni偶szy obraz:

 

[tekst znajduj膮cy si臋 na obrazie:
Ekipa do艣wiadczonych robotnik贸w do remontu twojego mieszkania! Od prac kosmetycznych po pe艂ne prace remontowe w stylu europejskim o dowolnym stopniu trudno艣ci. Wszelkie rodzaje napraw, prac remontowych oraz budowlanych.
Elektryka, hydraulika, malowanie, drzwi, kafelkowanie, posadzkowanie itd.
Gwarantowana jako艣膰, rozs膮dne ceny.
Na wszystkie rodzaje prac dajemy rok gwarancji.
Zadzwo艅 na numer: [numer]]

Metody i sztuczki spamer贸w

W 2009 roku g艂贸wn膮 innowacj膮 w spamie by艂o wykorzystanie portalu YouTube w spamie wideo. W pa藕dzierniku na YouTubie znale藕li艣my kilka wysy艂ek mailowych zawieraj膮cych odsy艂acze do reklam. Wszystkie z nich promowa艂y us艂ugi spamer贸w.



Mimo 偶e by艂a to nowa technika filtry spamowe nie mia艂y problemu z identyfikacj膮 takich wysy艂ek spamowych. Masowa wysy艂ka zawiera艂a jedynie garstk臋 odsy艂aczy do r贸偶nych reklam (wykryli艣my nie wi臋cej ni偶 10). Poza tym nietrudno zablokowa膰 wysy艂ki, kt贸re wykorzystuj膮 ten sam adres URL.

Pod koniec roku spamerzy zastosowali kolejn膮 interesuj膮c膮, aczkolwiek wcale nie now膮, sztuczk臋 - do wiadomo艣ci spamowych do艂膮czyli pliki mp3. Po odtworzeniu tego pliku s艂ycha膰 by艂o przyjemny damski g艂os czytaj膮cy nazw臋 strony internetowej, na kt贸rej mo偶na kupi膰 Viagr臋. Nazwa i producent 艣cie偶ki r贸wnie偶 wskazywa艂y na stron臋 spamera. W tle pliku d藕wi臋kowego s艂ycha膰 by艂o odg艂osy ci臋偶ko oddychaj膮cej kobiety.



Spamerzy nadal wykorzystywali i usprawniali niekt贸re z taktyk stosowanych w poprzednich latach.

Jedna z nich polega艂a na zapisie oferty promocyjnej i/lub informacji kontaktowych przy pomocy samego HTML-a - bez liter oraz obraz贸w. Co prawda nie jest to nowa metoda, jednak w 2009 roku zosta艂a ulepszona. Wiadomo艣膰 zwiera tabelk臋 z du偶膮 liczb膮 kom贸rek. Niekt贸re z nich s膮 puste, inne wype艂nione czarnym kolorem. Przy pomocy kombinacji pustych i kolorowych kom贸rek spamerzy tworzyli wybrany przez siebie tekst.

Wcze艣niej spamerzy r贸wnie偶 wykorzystywali tabele ze stosunkowo du偶膮 liczb膮 kom贸rek, w efekcie otrzymuj膮c niezgrabne, dziwacznie wygl膮daj膮ce litery i liczby:



W 2009 roku doszli do wniosku, 偶e je偶eli b臋d膮 wykorzystywali tabele sk艂adaj膮ce si臋 z cienkich kom贸rek, tekst stanie si臋 wyra藕niejszy. W rezultacie powstawa艂 tekst taki jak ten w mailu poni偶ej:



Kolejn膮 technik膮, kt贸ra zosta艂a zmodyfikowana w 2009 roku, by艂o wykorzystywanie obraz贸w ze zmiennym t艂em. Aby uniemo偶liwi膰 filtrom spamowym rozpoznawanie wiadomo艣ci wykorzystywanych w wysy艂kach spamowych jako identycznych reklam oraz identyfikowanie tekstu u偶ytego w obrazach jako typowych s艂贸w kluczy wykorzystanych w spamie, w 2006 roku spamerzy zacz臋li stosowa膰 "zaszumione" t艂a w obrazach zawieraj膮cych ciemne kropki, plamy, a czasami kszta艂ty geometryczne w r贸偶nych lokalizacjach. Ucierpia艂 na tym wygl膮d wiadomo艣ci, podobnie jak jej czytelno艣膰. W tym czasie tego typu wiadomo艣膰 zwykle wygl膮da艂a tak:



W 2009 roku spamerzy po艂膮czyli "zaszumione" obrazy z wi臋ksz膮 dba艂o艣ci膮 o wygl膮d wiadomo艣ci. Zamiast chaotycznych dekoracji zacz臋li wykorzystywa膰 atrakcyjne kobiety w tle. Aby uzyska膰 du偶膮 liczb臋 opcji tego samego obrazu, obraz by艂 rozbijany na kilka cz臋艣ci. Podczas przegl膮dania w przegl膮darce wszystkie te cz臋艣ci 艂膮czy艂y si臋 w ca艂o艣膰, a u偶ytkownikowi ukazywa艂a si臋 atrakcyjna posta膰:



Na pocz膮tku metoda ta by艂a stosowana w angielskoj臋zycznych reklamach zabieg贸w medycznych, jednak nied艂ugo po tym wykorzystywano j膮 r贸wnie偶 w rosyjskoj臋zycznym spamie zawieraj膮cym tre艣ci dla doros艂ych:



Podobne metody by艂y stosowane ju偶 w 2006 roku, nast臋pnie po okresie przerwy powr贸ci艂y do 艂ask spamer贸w.

Inn膮 taktyk膮 stosowan膮 w spamie graficznym jest zniekszta艂canie tekstu reklamy, tak aby by艂a pofalowana.



R贸wnie偶 ta metoda zosta艂a najpierw przetestowana, a nast臋pnie powszechnie wykorzystywana w angielskoj臋zycznych reklamach lekarstw, a kilka miesi臋cy p贸藕niej by艂a r贸wnie偶 stosowana w spamie rosyjskoj臋zycznym:



Spamerzy lubi膮 r贸wnie偶 wykorzystywa膰 przykuwaj膮ce uwag臋 tematy nawi膮zuj膮ce do kontrowersyjnych wydarze艅 i nazwisk znanych os贸b publicznych..

W 2009 roku osob膮, na kt贸rej spamerzy 偶erowali najcz臋艣ciej, by艂 ameryka艅ski prezydent Barack Obama. Jego nazwisko by艂o powszechnie wykorzystywane po inauguracji, kt贸ra mia艂a miejsce 20 stycznia 2009 r., oraz stanowi艂o cz臋sty temat wiadomo艣ci spamowych przez ca艂y rok. Nazwisko Obamy pojawia艂o si臋 r贸wnie偶 w sensacyjnych nag艂贸wkach, szanta偶u i nigeryjskim szwindlu.

Poni偶szy e-mail nosi tytu艂 "Terrible Obama's disease" [Straszna choroba Obamy] i reklamuje Viagr臋:

 

Spamerzy nie przepu艣cili r贸wnie偶 okazji wykorzystania tematu 艣wi艅skiej grypy. Wiadomo艣ci, kt贸rych tematy oferowa艂y lekarstwa, w rzeczywisto艣ci zawiera艂y odsy艂acze do kanadyjskich aptek sprzedaj膮cych Viagr臋. W klimacie paniki zwi膮zanej z wirusem, kt贸ra sw贸j punkt krytyczny osi膮gn臋艂a we wrze艣niu 2009 roku, spamerzy wymy艣lili nawet takie oferty, takie jak nieistniej膮ca szczepionka oraz maseczki ochronne przed gryp膮.

E-mail poni偶ej oferowa艂 hurtow膮 sprzeda偶 maseczek medycznych:



Osoba Michela Jacksona zosta艂a wykorzystana przez spamer贸w nied艂ugo po jego 艣mierci 25 czerwca. Wysy艂ki spamowe zawiera艂y odsy艂acze do stron zainfekowanych szkodliwym oprogramowaniem. Kampanie spamowe wykorzystuj膮ce nazwisko zmar艂ego piosenkarza by艂y prowadzone przez ca艂e lato i d艂u偶ej.

U偶ytkownicy Internetu nadal otrzymuj膮 spam z ofertami zakupu jednego z kostium贸w Michaela Jacksona lub wydanego po艣miertnie albumu. Jeszcze w listopadzie Kaspersky Lab otrzyma艂 wiadomo艣膰 spamow膮 z tematem "Michael 偶yje! Obejrzyj dow贸d" oraz odsy艂aczem do strony internetowej zawartym w tre艣ci wiadomo艣ci:



Odsy艂acz prowadzi艂 do trojana o nazwie Trojan.Script.Iframer.

Oczywi艣cie spamerzy wykorzystywali r贸wnie偶 wiele innych temat贸w: 艣wi臋ta (zaczynaj膮c od 8 marca w Rosji, a ko艅cz膮c na Dniu Dzi臋kczynienia obchodzonym w Stanach Zjednoczonych i Kanadzie), mecze kwalifikacyjne do Pucharu 艢wiata 2010 oraz premiery hit贸w kinowych.

Spam a portale spo艂eczno艣ciowe

Spam rozpowszechni艂 si臋 na portalach spo艂eczno艣ciowych i blogach. Je偶eli spo艂eczno艣膰 nie jest moderowana lub nie wy艂膮czono funkcji anonimowych komentarzy, ilo艣膰 spamu otrzymywanego za po艣rednictwem blog贸w i portali spo艂eczno艣ciowych mo偶e by膰 olbrzymia.

Na popularno艣ci portali spo艂eczno艣ciowych korzystaj膮 nawet spamerzy wysy艂aj膮cy swoje oferty za po艣rednictwem poczty elektronicznej. Po pierwsze, dostajemy r贸偶ne powiadomienia e-mailowe zawieraj膮ce spam. Po drugie, spamerzy wykorzystuj膮 portale spo艂eczno艣ciowe i blogi jako kolejn膮 "aren臋" do umieszczania tych samych reklam, do kt贸rych prowadz膮 odsy艂acze zawarte w e-mailach. Takie wiadomo艣ci spamowe reklamuj膮 nowe, nieznane portale spo艂eczno艣ciowe, kt贸re cz臋sto okazuj膮 si臋 serwisami randkowymi.

W celu obej艣cia filtr贸w i przyci膮gni臋cia uwagi u偶ytkownik贸w spamerzy cz臋sto wykorzystuj膮 nazwy znanych portali spo艂eczno艣ciowych i serwis贸w blogowych - fa艂szywe powiadomienie z portalu spo艂eczno艣ciowego b臋dzie sprawia艂o wra偶enie bardziej wiarygodnego. Do艣膰 powszechne s膮 r贸wnie偶 ataki phishingowe na portale spo艂eczno艣ciowe maj膮ce na celu uzyskania dost臋pu do kont u偶ytkownik贸w. Z regu艂y celem tego rodzaju atak贸w s膮 najpopularniejsze portale, takie jak Facebook i Twitter.

W poni偶szej wiadomo艣ci phishingowej odbiorca jest proszony o uaktualnienie swojego konta na Facebooku poprzez klikni臋cie zawartego w mailu odsy艂acza. W rzeczywisto艣ci jednak odsy艂acz prowadzi do strony nale偶膮cej do szkodliwych u偶ytkownik贸w, na kt贸rej odwiedzaj膮cy proszeni s膮 o wprowadzenie swojego loginu i has艂a do konta:

 

Opr贸cz oszustw phishingowych do rozprzestrzeniania wirus贸w wykorzystywane by艂y r贸wnie偶 fa艂szywe wiadomo艣ci z niezwykle popularnego serwisu Twitter.

To fa艂szywe zaproszenie z Twittera kryje za艂膮cznik w postaci pliku ZIP zawieraj膮cy wirusa:

 

Jak wida膰, spam e-mailowy oraz spam rozprzestrzeniany za po艣rednictwem portali spo艂eczno艣ciowych s膮 艣ci艣le ze sob膮 zwi膮zane. Przy pomocy spamu e-mailowego mo偶na w艂ama膰 si臋 na konto u偶ytkownika na portalu spo艂eczno艣ciowym. Ponadto, je偶eli u偶ytkownik kliknie zainfekowany odsy艂acz, jego komputer mo偶e zosta膰 zainfekowany i sta膰 si臋 cz臋艣ci膮 botnetu wykorzystywanego do rozsy艂ania jeszcze wi臋kszej ilo艣ci spamu za po艣rednictwem portali spo艂eczno艣ciowych. Spam e-mailowy wykorzystuje nazwy znanych portali spo艂eczno艣ciowych i u偶ywa ich jako platformy do promowania ich towar贸w i us艂ug.

Szkodliwe oprogramowanie w ruchu pocztowym

Poni偶szy wykres pokazuje aktywno艣膰 wysy艂ek spamowych z zainfekowanymi za艂膮cznikami na przestrzeni dw贸ch ostatnich lat. Jak wida膰, wzrost aktywno艣ci nast膮pi艂 pod koniec roku zar贸wno w 2008 roku, jak i 2009. Kolejne wzmo偶enie aktywno艣ci obserwowali艣my w marcu 2008 roku, jednak w okresie od lutego do sierpnia 2009 roku ilo艣膰 spamu z zainfekowanymi za艂膮cznikami utrzymywa艂a si臋 na poziomie 0,4% i poni偶ej.



Ilo艣膰 wiadomo艣ci spamowych z zainfekowanymi za艂膮cznikami w 2008 i 2009 r.

W 2009 roku wzrost ilo艣ci zainfekowanego spamu nast膮pi艂 jesieni膮 i w przewa偶aj膮cej mierze mia艂 zwi膮zek z wiadomo艣ciami e-mail zawieraj膮cymi Zbota (trojana spyware stworzonego w celu kradzie偶y poufnych informacji u偶ytkownika), kt贸ry by艂 zamaskowany jako powiadomienie od organ贸w podatkowych, oraz wiadomo艣ciami e-mail, za po艣rednictwem kt贸rych szkodliwi u偶ytkownicy rozprzestrzeniali rodzin臋 trojan贸w FraudLoad. Trojany z tej rodziny instalowa艂y na komputerze u偶ytkownika r贸偶ne fa艂szywe rozwi膮zania antywirusowe (FraudTools). Nast臋pnie szkodliwi u偶ytkownicy wy艂udzali pieni膮dze od niczego niepodejrzewaj膮cych u偶ytkownik贸w, oferuj膮c im wyleczenie lub usuni臋cie rzekomego szkodliwego oprogramowania na ich komputerach.

Wykres poni偶ej pokazuje 10 najpopularniejszych szkodliwych program贸w rozprzestrzenianych za po艣rednictwem poczty elektronicznej w 2009 roku:

 

10 najpopularniejszych szkodliwych program贸w w 2009 r.

W 2009 roku, podobnie jak rok wcze艣niej, na prowadzeniu znajdowa艂a si臋 rodzina Iframe. Trojan-Clicker.HTML.IFrame.abn jest szkodliwym programem maj膮cym posta膰 dokumentu HTML zawieraj膮cego skrypt wykonuj膮cy nieautoryzowane 偶膮dania do zainfekowanej strony pod adresem http://ddhj.2288.org/d[****]2.htm bezpo艣rednio z HTML-owej wersji e-maila lub z za艂膮cznika HTML. Trojan-Clicker.HTML.IFrame.abn jest jedynym przedstawicielem platformy HTML w 2009 roku - wszystkie pozosta艂e szkodliwe programy wykonuj膮 si臋 na popularniejszej platformie Win32.

Drugie i si贸dme miejsca na li艣cie 10 najpopularniejszych program贸w zajmuj膮 przedstawiciele rodziny FraudLoad: Trojan-Downloader.Win32.FraudLoad.epb oraz Trojan-Downloader.Win32.FraudLoad.wspk. We wrze艣niu ponad po艂owa wszystkich szkodliwych program贸w rozprzestrzenianych za po艣rednictwem spamu nale偶a艂a do rodziny FraudLoad.

Trzeci膮 i sz贸st膮 pozycj臋 zajmuj膮 szkodliwe programy spakowane przy u偶yciu dw贸ch wariant贸w pakera Krap: Packed.Win32.Krap.ah oraz Packed.Win32.Krap.w, kt贸re najcz臋艣ciej wykorzystywane by艂y do pakowania Zbota oraz fa艂szywych program贸w antywirusowych. Packed.Win32.Krap.w jest r贸wnie偶 wykorzystywany do pakowania Iksmasa i Bredolaba.

Nies艂awny Trojan-Downloader.Win32.Murlo.cba. uplasowa艂 si臋 na czwartej pozycji w og贸lnej klasyfikacji dla 2009 roku, natomiast we wrze艣niowym zestawieniu zaj膮艂 pierwsze miejsce.

Tak jak spodziewali艣my si臋, w pierwszej dziesi膮tce znalaz艂y si臋 r贸wnie偶 dwa warianty Zbota: Trojan-Spy.Win32.Zbot.zur oraz Trojan-Spy.Win32.Zbot.gen.

脫sme, dziewi膮te i dziesi膮te miejsca zaj臋艂y warianty backdoora Small: Backdoor.Win32.Small.zs oraz Backdoor.Win32.Small.zo.

Najbardziej zaskakuj膮cym trendem w rozprzestrzenianiu si臋 szkodliwego oprogramowania w 2009 roku by艂y fa艂szywe e-maile, b臋d膮ce rzekomo oficjalnymi powiadomieniami, z za艂膮czonym archiwum ZIP. Najwi臋ksza z takich kampanii zosta艂a przemy艣lana w taki spos贸b, aby wiadomo艣ci wygl膮da艂y na powiadomienia wys艂ane przez DHL lub UPS.

Jednak te dwie organizacje nie by艂y jedynymi, kt贸rych nazwy by艂y wykorzystywane przez spamer贸w do rozprzestrzeniania szkodliwych program贸w. "Oficjalne powiadomienie" by艂y r贸wnie偶 wysy艂ane przez spamer贸w, kt贸rzy rzekomo reprezentowali Western Union oraz FedEx, jak r贸wnie偶 wiele sklep贸w internetowych, w kt贸rych u偶ytkownicy zakupili w przesz艂o艣ci r贸偶ne kosztowne produkty.

Wiadomo艣ci te mia艂y podobn膮 struktur臋, co sugerowa艂o 偶e mog艂y pochodzi膰 od tego samego nadawcy. Nasze podejrzenia wzros艂y jeszcze bardziej, gdy otrzymali艣my nast臋puj膮cy e-mail:

 

W tym przypadku spamer dopu艣ci艂 si臋 zaniedbania, pozwalaj膮c, aby organizacja wymieniona w temacie maila nie zgadza艂a si臋 z t膮, o kt贸rej by艂a mowa w tre艣ci wiadomo艣ci.

Osoby stosuj膮ce socjotechnik臋 wykorzystywa艂y r贸wnie偶 fa艂szywe kartki okoliczno艣ciowe rzekomo pochodz膮ce od znanej firmy Hallmark oraz innych podobnych serwis贸w, aby nak艂oni膰 u偶ytkownik贸w do pobrania szkodliwych program贸w.

 

Naturalnie, w celu rozprzestrzeniania szkodliwego oprogramowania spamerzy nawi膮zywali w tematach wiadomo艣ci do gor膮cych news贸w, takich jak 艣mier膰 "Kr贸la Popu", uruchomienie Wielkiego Zderzacza Hadron贸w czy debiut systemu Windows 7. Zainfekowane e-maile zawiera艂y najcz臋艣ciej odsy艂acz do strony internetowej zainfekowanej szkodliwym oprogramowaniem, a nie za艂膮cznik.

Przyk艂adem mo偶e by膰 poni偶sza wiadomo艣膰 z "sensacyjnym" tematem zawieraj膮cym oskar偶enia dotycz膮ce najnowszej publikacji Microsoftu. W tre艣ci wiadomo艣ci znajduje si臋 zainfekowany odsy艂acz prowadz膮cy do trojana downloadera:



Wnioski

Rok 2009 by艂 rokiem kryzysu finansowego i dla wielu firm by艂 to bardzo trudny okres. Kryzys odczuli r贸wnie偶 spamerzy, kt贸rzy w po艂owie roku odnotowali znaczny spadek liczby otrzymanych zam贸wie艅. Jednak ilo艣膰 spamu w uchu pocztowym nie zmniejszy艂a si臋, poniewa偶 spamerzy zmienili taktyk臋 i zacz臋li aktywnie uczestniczy膰 w programach partnerskich. Ponadto, ilo艣膰 spamu w ruchu pocztowym na przestrzeni roku stanowi艂a pewnego rodzaju wska藕nik kryzysu, pozwalaj膮c nam sformu艂owa膰 pewne prognozy dotycz膮ce spamu w przysz艂o艣ci.

W 2009 roku szczeg贸lnie wysoka by艂a ilo艣膰 spamu reklamuj膮cego us艂ugi spamerskie - 20% ca艂ego ruchu spamowego. W ten spos贸b spamerzy chcieli przyci膮gn膮膰 nowych klient贸w w kryzysie.

Co ciekawe, w ruchu pocztowym wykryli艣my tylko kilka wiadomo艣ci phishingowych: w krytycznym okresie kryzysu ilo艣膰 tego rodzaju spamu znacznie spad艂a.

Liczba szkodliwych program贸w w spamie nie zmieni艂a si臋 znacz膮co w por贸wnaniu z 2008 rokiem, zmiany nast膮pi艂y natomiast w rodzajach zainfekowanych wiadomo艣ci. Jednym z najcz臋艣ciej wykorzystywanych rodzaj贸w szkodliwego oprogramowania by艂y trojany pobieraj膮ce fa艂szywe programy antywirusowe.

Przez ca艂y rok spamerzy aktywnie pracowali nad zwi臋kszeniem jako艣ci swoich reklam oraz pr贸bowali utrudni膰 ich wykrywanie przez filtry spamowe. Jednocze艣nie starali si臋, aby ich reklamy by艂y atrakcyjne dla u偶ytkownik贸w Internetu. Opr贸cz tradycyjnych metod wykorzystywali r贸wnie偶 technologie multimedialne, takie jak pliki audio oraz odsy艂acze do film贸w wideo na portalu YouTube.

Najwi臋kszym spamerem w 2009 roku by艂y Stany Zjednoczone. Jednocze艣nie 藕r贸d艂a spamu przesun臋艂y si臋 w kierunku pa艅stw Azji i Ameryki 艁aci艅skiej. Przyczyn膮 mo偶e by膰 sta艂y wzrost liczby komputer贸w i szerokopasmowych po艂膮cze艅 internetowych w tych pa艅stwach po艂膮czony z brakiem 艣wiadomo艣ci zagro偶e艅 internetowych. W rezultacie, komputery w tych krajach mog膮 zosta膰 艂atwiej zainfekowane przez szkodliwe oprogramowanie i w艂膮czone do botnetu.

Wykorzystywanie film贸w lub plik贸w audio w spamie prawdopodobnie nie b臋dzie tak bardzo rozpowszechnione: w tym przypadku kompromis mi臋dzy rozmiarem wiadomo艣ci, obej艣ciem filtr贸w oraz sprawieniem, aby wiadomo艣ci by艂y atrakcyjne dla u偶ytkownik贸w, nie dzia艂a na korzy艣膰 spamer贸w. Ci ostatni nadal b臋d膮 wykorzystywali sprawdzone taktyki. Mo偶emy si臋 r贸wnie偶 spodziewa膰, 偶e spamerzy nadal b臋d膮 wykorzystywali portale spo艂eczno艣ciowe, na kt贸rych ilo艣膰 spamu mo偶e znacznie wzrosn膮膰.

殴r贸d艂o:
Kaspersky Lab