Спам в першому кварталі 2011, Безпека ПЗ, Security & Hack, статті

Закриття ботнетів і частка спаму в поштовому трафіку


Після активної боротьби з ботнетами, що відбувалася в другій половині 2010 року, особливо цікаво було спостерігати за розвитком подій на початку 2011 р. Як ми і передбачали, кількість спаму в поштовому трафіку почало поступово збільшуватися. Однак частка спаму в трафіку до сих пір залишається порівняно низькою і не перевищує 80%.

Частка спаму в поштовому трафіку в першому кварталі 2011 р.


Частка спаму в поштовому трафіку в першому кварталі 2011 року в середньому склала 78,6%, що на 1,4% вище, ніж в попередньому кварталі, однак на 6,5% нижче відповідного показника минулого року. Найменша кількість спаму в пошті було відзначено 5 січня: 60,7%. Найбільше спаму – 87,7% – ¬ спостерігалося 23 січня.


У числі найважливіших подій кварталу – закриття 16 березня командних центрів ботнету Rustock, старого і дуже складно влаштованого ботнету, одного з лідерів у розсилці спаму.


Однак даний факт не вплинув серйозно на спам-трафік, як це було в минулому році після закриття Pushdo / Cutwail і Bredolab: кількість спаму скоротилася всього на 2-3% і лише на кілька днів. На среднемартовском показнику ця цифра і зовсім не позначилася. За різними оцінками, Rustock припинив масовано розсилати листи ще в кінці минулого року. Це могло бути пов’язано як із закриттям великої фармацевтичної партнерської програми SpamIt (а Rustock спеціалізувався на фармацевтичному спам), так і з використанням ботнету в інших цілях. Можливо також, що, бачачи активність різних ініціативних груп навколо бот-мереж в кінці 2010 року, злочинці віддали перевагу тимчасово залягти на дно. Тепер, однак, відновлювати старі потужності їм уже не доведеться. Хіба що організувати новий ботнет.


Як ми бачимо, незважаючи на боротьбу з ботнетами, кількість спаму продовжує зростати. А це говорить і про появу нових ботнетів. Так, серед шкідливих програм, розповсюджуваних у пошті, в десятці лідерів першого кварталу є черв’як сімейства Bagle – програма, що поширює себе по всім контактам зараженого комп’ютера і завантажуються на комп’ютер користувача шкідливі програми.


Гарячі теми в спам


Як це часто буває, як привід спамери використовували популярні події й свята. Так, намагаючись привернути увагу користувачів до своїх товарів і послуг, вони посилалися на близькість 23 лютого, 8 березня і Дня святого Валентина. Не обійшли увагою спамери і світової кубок з крикету, використовуючи цю тематику в шахрайських цілях.

Спамові лист, який використовує популярну тему


На жаль, протягом кварталу відбувалися і сумні події: повстання, зміни урядів, землетруси і цунамі. І цим теж намагалися скористатися спамери. Так, з трагедії в Японії вони теж намагалися отримати вигоду:


1. розсилаючи листи, в яких під виглядом посилань на гарячі новини розміщували посилання на шкідливі сайти:


2. під виглядом Червоного Хреста вимагаючи гроші у користувачів:


Уважний користувач помітив би, що шахраї робили вигляд, що пишуть з ящиків Червоного Хреста (@ redcross.org в поле From), проте відповідати просили на інші поштові ящики, розташовані на безкоштовних поштових системах. І навряд чи справжній Червоний Хрест попросив би переводити гроші за допомогою Western Union.


Розподіл джерел спаму по країнах


У першому кварталі 2011 року частки країн – джерел спаму розподілилися досить рівно, без істотного відриву від сусідів. При цьому жодна країна не перейшла позначку 10%.

Країни – джерела спаму в першому кварталі 2011


Лідером двадцятки стала Індія, що не дивно: вона увійшла до п’ятірки лідерів в 2009 році, і з тих пір її частка тільки збільшувалася. З втратою США своїх позицій Індія легко зайняла перше місце. На другому і третьому місці Росія і Бразилія, що займали в минулому кварталі, відповідно, друге і шосте місця. Частка Бразилії не просто помітно зросла в порівнянні з минулим кварталом, вона росла протягом усього кварталу і склала в березні 6,63% від усього розсилається спаму.


США, які після закриття командних центів ботнетів зайняли в минулому кварталі лише 20-е місце, відновлюють свої позиції. У першому кварталі із США було розіслано 2,97% всього спаму, що вивело цю країну на 11-е місце. Можна з упевненістю сказати, що частка цієї країни в розсилці спаму буде продовжувати рости. Це підтверджується також тим фактом, що в березні по кількості спрацьовувань поштового антивірусу США зайняли друге місце – після закриття Pushdo / Cutwail, Bredolab і Rustock зловмисники організовують нові ботнети і розширюють наявні.


Розподіл джерел спаму по регіонах


Перший квартал 2011 мало чим відрізняється від попереднього: регіони-лідери залишилися колишніми. Однак є й зміни.


 

Регіони – джерела спаму


Кілька зросла частка азіатського регіону. Ми включали в цей регіон країни Азії, Океанії і Близького Сходу. Однак тепер, коли частка цього регіону настільки висока, ми вирішили розбити його на три частини: Азія, Близький Схід і регіон Австралії та Океанії. У сумі за квартал на ці регіони припадає 36,39% від всього спаму (в минулому кварталі – 33,46%).


Зросла частка країн Латинської Америки (+3,85%), в той же час скоротилася частка Західної та Східної Європи (-2,36% і -5,64% відповідно). Ми передбачали такий хід подій. Він обумовлений зміщенням ботнетів до країн, найменш захищені від кіберзлочинності законодавчо.


Серед регіонів, слабо захищених від кіберзлочинності, відзначимо африканський континент. Раніше ми не виділяли його окремо, тому що частка розсилається звідти спаму була занадто мала і не перевищувала одного відсотка. Але в цьому кварталі спам з країн африканського регіону склав вже 3,66%, що перевищує частку США і Канади. Слабка законодавча база в галузі захисту від спаму і низька комп’ютерна грамотність населення створюють умови для подальшого збільшення обсягу спаму, розповсюджуваного з цього регіону.


Розміри спамових листів

Розмір спамових листів у першому кварталі 2011 р.


Короткі листи розміром менше 5Кб як і раніше лідирують в спам. При цьому майже 30% спаму становлять листи розміром не більше 1Кб. Як правило, такі листи представляють собою коротку рекламну фразу і посилання на сайт.


Примітно, що популярні були і довгі листи, розміром 50Кб і більше – їх частка склала 20,73%. Зазвичай частка таких листів не перевищує 5% від загального обсягу спаму. В основному це листи з різними вкладеннями, за допомогою яких спамери припускали обійти захист фільтрів.


Тематичні категорії спаму в Рунеті


Найбільш численними в першому кварталі були листи, що рекламують різні курси, семінари та тренінги. На другому місці виявилася рубрика “Медикаменти”, на третьому – самореклама спамерів.

Розподіл тематичних категорій спаму в першому кварталі 2011 р.


Треба зауважити, що в січні два тематичні лідера йшли практично нарівні, однак уже в березні кількість листів рубрики “Освіта” перевищила “Медикаменти” в 8 разів. Відзначимо, що така кількість листів освітньої тематики пояснюється великою мірою масажуванні розсилок: листи розсилаються на мільйони адрес і можуть приходити на один і той же поштову скриньку десятки разів.

Частка тематичних категорій “Медикаменти” і “Освіта” в спам в першому кварталі 2011 р.


Тематика “Освіта” відноситься до замовленого спаму: клієнт звертається безпосередньо до спамерам та оплачує послугу розсилки. “Медикаменти” – це класичний “партнерський” спам, коли спамер сам організує розсилку і отримує відсоток від проданого товару. Відзначимо, що тенденція до зменшення кількості спаму, що розсилається за допомогою партнерських програм, і зростання кількості “замовного” спаму намітилася ще в четвертому кварталі 2010 року. Такий перерозподіл в першу чергу пов’язано із закриттям командних центрів ботнетів (таких, як Pushdo / Cutwail і Bredolab) і партнерської програми SpamIt. Те, що така тенденція збереглася і в першому кварталі 2011, може бути пов’язано із закриттям командних центрів ботнету Rustock.

Замовний і партнерський спам з жовтня 2010 р. по березень 2011


Як видно на графіку, тенденція до зростання кількості замовного спаму і падіння “партнерського” порушилася тільки в січні, що цілком логічно: в період тривалих свят ніхто не замовляє рекламу, це просто невигідно, а “партнерський” спам продовжує розсилатися, хоча і в значно меншому обсязі. Абсолютна кількість спаму в поштовому трафіку в перші дні року було нижче середнього приблизно в 5 разів.


Говорячи про тематичні категоріях спаму, не можна не згадати, що в цьому кварталі нам зустрілося багато листів, не характерних для спаму. Спамери пропонували навчити телепортації в просторі і часі, напередодні 2012 року – купити ковчеги (мабуть, різновиди Ноєвого), а також нагадували користувачам про те, що хабарі та корупція – це погано.

Приклади листів, нехарактерних для спаму, I квартал 2011 р.

Деякі люди стривожені передбаченнями кінця світу в 2012 році. Це позначається і на змісті спам-розсилок. І якщо листи, пов’язані з кінцем світу, зустрічаються вже зараз, цікаво поспостерігати, скільки ж їх буде до кінця року.


Шкідливі програми в пошті


У першому кварталі 2011 року частка листів, що містили шкідливі вкладення, в середньому склала 3,05%. З січня по березень частка спаму з шкідливими вкладеннями збільшилася майже на 0,5%. На графіку нижче видно розподіл цього показника по місяцях першого кварталу 2011.

Відсоток шкідливих програм у пошті в I кварталі 2011 р.


Що стосується розподілу по країнах, то в першому кварталі 2011 року воно виглядає наступним чином:

Розподіл спрацьовувань поштового антивірусу по країнах в першому кварталі 2011 р.


Як видно на графіку, найбільша кількість спрацьовувань поштового антивірусу довелося на Росію (13%). Сполучені Штати зайняли другий рядок – на цю країну довелося 10,44% всіх спрацьовувань. Третя і четверта строчки зайняті В’єтнамом (6,96%) та Індією (5,99%) відповідно.


Зауважу, що всі вищеперелічені країни протягом кварталу змінювали свої позиції. На графіку нижче видно, що в січні В’єтнам та Індія були лідерами за кількістю спрацьовувань поштового антивірусу. Однак вже в лютому спрацьовувань поштового антивірусу в цих країнах стало значно менше. У березні ж кількість спрацьовувань поштового антивірусу у В’єтнамі в порівнянні з лютим не змінилося, а аналогічний показник для Індії продовжив знижуватися.

Динаміка спрацьовування поштового антивірусу по країнах в першому кварталі 2011 р.


Що стосується частки спрацьовувань поштового антивірусу в США, то в лютому вона помітно зросла і в березні також продовжувала зростати. Зростання цього показника спостерігається в Італії і Великобританії, хоча він менш виражений.


Такі зміни, ймовірно, пов’язані зі спробою господарів ботнетів відновити свої мережі в США і європейських країнах. Одночасно їхній інтерес до азіатських країн знижується: судячи з показниками розсилки спаму з цих країн, в ботнети там вже і без того включено чималу кількість машин, а як мета для розсилки шкідливого коду з функцією крадіжки особистих і фінансових даних, азіатський регіон традиційно не представляє інтересу.


У рейтингу найбільш часто блокували поштовим антивірусом програм перше місце за традицією займає Trojan-Spy.HTML.Fraud.gen. Ця троянська програма виконана у вигляді html-сторінки, що нагадує реєстраційну форму банків, або інших онлайн-сервісів. Реєстраційні дані, введені в таку “форму” будуть відправлені зловмисникам. Детальніше про цю програму можна прочитати тут.

TOP 10 шкідливих програм у пошті в I кварталі 2011 р.


Найпомітнішим сімейством в рейтингу стали поштові черв’яки – чотири з десяти шкідливих програм нашого рейтингу відносяться саме до них. Основним функціоналом подібних програм є сканування системи на предмет виявлення електронних адрес і подальша розсилка себе по ним. Цими нехитрими діями обмежується функціонал шкідливих програм Email-Worm.Win32.Mydoom.m та Email-Worm.Win32.NetSky.q. Більш складним функціоналом мають поштові черв’яки Email-Worm.Win32.Agent.gnd та Email-Worm.Win32.Bagle.gt. Крім збору електронних адрес і розсилки себе за допомогою електронної пошти, ці шкідливі програми при попаданні на комп’ютер інсталюють в систему інші шкідливі програми. Цікаво, що при цьому Email-Worm.Win32.Agent.gnd інсталює в систему в основному троянські програми-завантажувачі, які негайно намагаються отримати доступ до певних інтернет-ресурсів, з яких відбувається завантаження інших шкідливих програм, тоді як Email-Worm.Win32.Bagle.gt самостійно звертається до певних сторінок в інтернеті для скачування з них шкідливих програм.


Крім описаних шкідливих програм, в ТОР 10 першого кварталу потрапила шпигунська програма Trojan-Spy.Win32.SpyEyes.fpv. Зловредів цього сімейства займаються викраденням конфіденційних даних користувача. Програми цього сімейства найбільш популярні були в березні, однак розсилки листів, що містили таке шкідливе ПО, почалися ще в лютому. Ще одна програма, яка увійшла в ТОР 10 – Trojan-Downloader.Win32.Deliver.а. Зловредів цього сімейства становили половину ТОР 10 програм, заблокованих поштовим антивірусом в березні. За підсумками кварталу лише один представник цього сімейства потрапив в десятку. Ця шкідлива програма є класичним троянцем – завантажувачем, що встановлює на заражений комп’ютер інші шкідливі програми без відома користувача.


Фішинг


Частка фішингу в першому кварталі 2011 року була вкрай мала і в середньому склала 0,03%.


Цікаво, що відсоток фішингових листів у пошті практично не змінювався протягом кварталу. Перші два місяці він тримався на позначці 0,03%. У березні він зменшився до 0,02%.

Відсоток фішингових листів у пошті в першому кварталі 2011 р.


Два лідера в рейтингу найбільш часто атакованих організацій в першому кварталі 2011 року залишилися незмінними – це платіжна система PayPal і інтернет-аукціон eBay. Соціальна мережа Facebook на початку 2011 року посіла лише четверту сходинку. А був у лідерах банк HSBC – п’яту.

ТОР 10 організацій, атакованих фішерами


На третьому рядку розташувалася соціальна мережа Habbo, незначно обігнала Facebook за рівнем своєї популярності у фішерів.


Популярна онлайн-гра World of Warcraft, як і раніше знаходиться під пильною увагою фішерів, однак у першому кварталі 2011 цей ресурс зайняв лише сьому сходинку, пропустивши вперед банки Chase і Stantander.


Зауважимо, що в рейтингу не представлена ​​компанія Google, яка за підсумками 2010 року займала п’ятий рядок (2,5%). Справа в тому, що сервіси компанії, що цікавили зловмисників раніше (в основному Google AdWords і Google Checkout), піддавалися атакам значно рідше (1,07% і двадцяте місце). Однак на початку 2011 фішерів зацікавила соціальна мережа Orkut, що належить Google і вкрай популярна в Бразилії. Частка атак на цю соцмережу склала 1,96%, і в результаті Orkut розташувалася на 12-му рядку рейтингу. Шляхом нехитрих обчислень можна помітити, що в загальній складності атаки на Orkut та інші сервіси Google склали 3,03% всіх фішингових атак першого кварталу 2011. Крім того, зауважимо, що акаунти всіх сервісів Google, не виключаючи Orkut, пов’язані один з одним. Таким чином, отримавши реєстраційні дані від цієї соціальної мережі, зловмисник отримує доступ до всіх сервісів Google, на яких зареєстрований користувач.


Методи і трюки


У першому кварталі 2011 спамери застосовували різні старі й нові трюки, щоб обійти фільтри і привернути увагу користувачів.


Одним з таких трюків стала розсилка спаму з посиланням на відеоролики. Лист містив лише одну посилання, без всякого супутнього тексту. Пройшовши по посиланню, користувач міг подивитися ролик, де рекламувалися послуги спамерів. Мабуть, таким чином спамери хотіли зіграти на цікавості користувачів: посилання без будь-яких пояснень відкриють з більшою ймовірністю.

Приклад спамового листа з посиланням на рекламу спамерських послуг


Такий метод вже застосовувався в 2009 році, але з однією відмінністю: тоді ролики перебували на сервісі YouTube.com, тепер же спамери віддали перевагу його російський аналог RuTube.ru. Втім, цей метод реклами, як і минулого разу, зазнав фіаско: кількість посилань на ролики було досить обмеженим і з легкістю перехоплювалися фільтрами. Такий метод, звичайно, дозволяє рекламі виглядати більш виграшно (замість листи одержувач дивиться повноцінний відеоролик), і тим не менш, він ніколи не буде успішним: відеохостинги влаштовані таким чином, що розмістити велику кількість однакових роликів на них не вийде, тому посилання на такі ролики в листах однієї розсилки буде одна й та сама, через що розсилку буде просто зупинити.

Ще один хитрий спосіб, спрямований на те, щоб обдурити фільтри, шахраї придумали, підроблюючи свої листи під листи незадоволених спамом користувачів:

Спамерське лист – підробка під лист обуреного користувача


Раніше ми спостерігали підробки під автовідповіді “Out of office” з посиланням на спамерських сайт, тепер же спамери підробляють відповіді користувачів. Дійсно, не відразу здогадаєшся, що лист, в якому написано “Stop sending me spam” само є спамом.


Крім того, як і раніше популярними були підробки під повідомлення відомих ресурсів, таких як Twitter, Facebook, Amazon і інших.

Лист-спам, підроблене під повідомлення від відомого ресурсу


Пройшовши по посиланню в такій нотифікації, можна було в рівній мірі виявитися на сайті з рекламою або отримати на свій комп’ютер шкідливу програму.


Висновок


Після закриття командних центрів різних ботнетів у минулому році кількість спаму в поштовому трафіку так і не досягло колишнього рівня, хоча помітне його збільшення все ж спостерігалося. Так що можна очікувати, що в наступному кварталі воно досягне 80% від того обсягу, який був до закриття ботнетів. Якщо, звичайно, по спамерам не завдадуть черговий прицільний удар. Таким ударом у першому кварталі 2011 могло б стати закриття командних центрів ботнету Rustock. Однак або зловмисники підготували нові плацдарми заздалегідь, або зорієнтувалися дуже швидко – закриття командних центрів не зробило істотного впливу на кількість спаму.


Що стосується джерел спаму, тут підтвердилися наші прогнози про усунення ботнетів в регіони зі слабкою законодавчою базою в сфері захисту від спаму і низькою комп’ютерною грамотністю населення. Так, частка азіатського і латиноамериканського регіонів збільшилася, в той час як частка Європи в розсилці спаму скоротилася. Можна припустити, що надалі кіберзлочинці будуть розвивати ботнети як в Проте, так і в більш захищених регіонах, адже вже на даний момент ботнети розподілені по світу практично рівномірно.


Кількість шкідливих вкладень у пошті тримає задану в минулому році високу планку. Така ситуація триватиме як мінімум до організації нових ботнетів (замість закритих), і, ймовірно, залишиться і після: спам вже давно став криміналізованим, і дивує швидше той факт, що велика кількість зловредів в пошті з’явилося лише в минулому році.


Нинішні спамерські методи і трюки – це добре забуте старе. У першому кварталі спамери згадували відеоспам і намагалися підробити листи від користувачів. І якщо відеоспам не був і не буде популярний через свою неефективність, то підробки під звичайні листи або під особисту переписку будуть продовжувати з’являтися. Можливо, ми побачимо різні її варіації в наступному кварталі.


Ми рекомендуємо користувачам бути пильними і перевіряти справжність листів, перш ніж здійснювати будь-які дії, такі як відкриття вкладення або перехід по посиланню в листі.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*