Q1 2012 shrnutí
Čtvrtletí v číslech
- V 1. čtvrtletí roku 2012 se podíl spamu v mailového provozu se snížil o 3 procentní body ve srovnání s předchozím čtvrtletím, v průměru 76,6%.
- Asie (44%) a Latinská Amerika (21%) zůstává i nadále nejvýznamnější zdroje spamu.
- Podíl e-mailů se škodlivými přílohami vzrostl o 0,1 procentního bodu ve srovnání s 4. čtvrtletím 2011 a průměrně 3,3%
- Podíl phishingových e-mailů v průměru 0,02% ze všech mailů.
Dovolená spam
První čtvrtletí roku byl plný svátků a samozřejmě, spammeři se snažil, aby co nejvíce z toho. Ať už je to Valentýn, Mezinárodní den žen, Den svatého Patrika, nebo Velikonoce - zdá se, že to není dovolená, která nebude mít spammer pracovat přesčas.
Ve většině případů byl "svátek" spam omezen na tematické reklamy na léky, falešné značkové zboží, a tak na to chtělo přesvědčit uživatele, že skutečně potřebuje tyto konkrétní zboží jako rekreační dárky.Bylo to hlavně partnerem spam, který se stává obzvláště aktivní v období před svátky - zejména například partnerské programy nabízející květiny.
Politický spam na Runet
Jak se dalo očekávat, v 1. čtvrtletí 2012 pokračoval spammeři se rozšířit politický spam na ruském internetu. Stejně jako tomu bylo v předchozím čtvrtletí, většina z toho byla e-maily s extremistickým podtextem. Tam byl také politický spam distribuován jménem komunistické strany (i když to nikdy není úplně jasné, zda jsou tyto zásilky jsou pravé, nebo falešné).
Nicméně, tam byly jiné typy politických spam. Například jeden hromadným rozesíláním pozval příjemce přečíst návod, jak se chovat na demonstracích. Zpráva obsahovala v příloze. Doc soubor, který se do běhu makra, zatímco to se otevřelo. Výsledkem je, že uživatelé skončil s Trojan program, jehož cílem zakázat OS Windows na svém počítači.
Nemůžeme s jistotou říci, zda jsou podvodníci zneužili setkání jako populární téma, nebo zda to byl cílený útok na opozici smýšlejících uživatelů. Nicméně, tento škodlivý program nebyl typický pro obchodní malware - to ani ukrást hesla, to ne nahrát roboty, apod. Jeho jediným úkolem bylo zakázat infikovaný počítač.
Spammerů metody a triky
Škodlivé hromadnou korespondenci
Spammeři, kteří se specializují na šíření malwaru jsou především kreativní v oblasti sociálního inženýrství. Na rozdíl od pokusů upoutat pozornost politických aktivistů, jsme zaznamenali i další podvody.
Hromadným rozesíláním obsahující falešné upozornění od Nacha následovala zprávy z Better Business Bureau (BBB), což je soukromá společnost, která nabízí spotřebitelům a podnikům v USA a Kanadě s informací o firmách, včetně komentáře, stížnosti, statistické údaje, hodnocení atd. . informací má pomoci lidem rozhodnout, zda koupit či investovat.
Hromadným rozesíláním zaměřena zejména na malé a střední podniky. Napsat informovala společnost, která stížnost údajně obdržel od Kanceláře. Pak se podvodníci použili klasickou metodou zastrašování - pokud společnost dělal ne oficiálně reagovat na stížnosti, jeho hodnocení BBB být v ohrožení. Ve skutečnosti, když uživatel klikl na odkaz vstoupil do hacknutý web s vestavěným skript, který ho přesměrován na škodlivé stránky obsahující proslulý Blackhole využít balíček.
Podobný režim byl použit pro jinou hromadnou korespondenci , která imitovala zprávu od letecké společnosti. Uživatel byl vyzván, aby on-line check-in na US Airways letu.
Odkaz v e-mailu vede uživatele na stránky obsahující skript, který mu přesměrování na škodlivé stránky s výše uvedeným balení blackhole využít. Pokud se využije podařilo najít zranitelné programu na počítači uživatele, byl Zeus / Zbot změna nainstalován na počítači.
Jiné škodlivé hromadné rozesílání napodobil finanční zprávy, pracovní nabídky, bankovní oznámení a informace ze sociálních sítí, atd.
Počítačový podvod
V 1. čtvrtletí 2012 se podvodníci také dával cestu k jejich představivosti. "Nigerijské" spammeři znovu slíbil uživatelům milióny dolarů, tentokrát z konce Kaddáfího. Oni také pózoval jako ředitel FBI se snaží ověřit osobní údaje uživatelů.
Byli jsme především zájem o hromadnou korespondenci údajně poslal na účet Anonymous. Pseudo-Anonymní šíření tento e-mail ve stylu slavného hackera skupiny, pomocí frází typické pro "originál".Jejich zpráva doporučuje příjemci na podporu jejich protestu proti působení různých vlád. Chcete-li zobrazit podporu, pouze uživatelé museli poslat své jméno, zemi a číslo mobilního telefonu na adresu uvedenou v e-mailu.
Zde se podvodníci hrají na popularitě hackerské skupiny. Jejich žádost jim poslat své jméno a telefonní číslo se může zdát neškodné, ale mohou využít této informace na vůli, například objednání telefonu majitele k placené službě.
Nápadně, "od" pole v korespondenci obsaženy doménu Nacha. Je nepravděpodobné, že podvodníci opravdu chtěli spojit svou korespondenci s činností této organizace. Více pravděpodobné, že lidé, kteří tyto e-maily odeslané předtím rozděleny nebezpečné e-maily, které je úpravou napodobují zprávy z Nacha a jednoduše zapomněl změnit falešný "od" pole v šabloně vydané na boty.
Statistický přehled
Podíl nevyžádané pošty a uzavření botnetů
V 1. čtvrtletí roku 2012 úroveň nevyžádané pošty v mailového provozu klesla 3 procentní body ve srovnání se 4. čtvrtletím roku 2011 a v průměru 76,6%.
Podíl nevyžádané pošty v mailového provozu v 1. čtvrtletí 2012
Pokles podílu nevyžádané pošty byl v žádné malé části až ke společnému úsilí společnosti Kaspersky Lab a zpravodajské CrowdStrike tým, HoneyNet Project a Dell SecureWorks výzkumných skupin. Jejich práce vedla k neutralizaci druhé verze Hlux / Kelihos peering botnetu. Podle našich údajů botnet zahrnovalo více než 100.000 infikovaných počítačů. Hlux byl nejprve si všiml v prosinci 2010, krátce po ukončení velkých robotických sítí, jako je Pushdo / robotické sítě Cutwail a Bredolab. V září 2011 byl jeho první změna aktivní, ale podvodníci rychle vytvořit novou verzi s rozšířenou funkčností a ještě před měsícem byl z bot objevila na internetu. V březnu 2012 byla neutralizována tato verze.
Geografie spamu
2011 je hlavní trend pokračoval iv 1. čtvrtletí 2012: Podíl spamu pochází z Asie (+3.83 procentních bodů) a Latinská Amerika (+2.66 procentních bodů) se zvyšuje, i když pomalu. Afriky (+0.67 procentních bodů) a na Středním východě (+1.09 procentních bodů) přínos je také roste. Přestože objem spamu pocházejícího z posledních dvou regionech není příliš velký dynamický růst ještě není jasné. Podíl nevyžádané pošty distribuovány z Afriky a Blízkého východu zvýšil o 20 a 29,6 procentních bodů ve srovnání se 4. čtvrtletím 2011.
Zdroje spamu podle krajů ve 4. čtvrtletí 2011 a 1. čtvrtletí 2012
Akcie západní a východní Evropě i nadále klesat a v 1. čtvrtletí 2012 činila 23.43% z celkového objemu světového spamu (-8.35 procentních bodů). Po uzavření Hlux můžeme očekávat další změny v geografickém rozložení zdrojů spamu.
Zdroje spamu dle země
V 1. čtvrtletí 2012 Indie byly nejaktivnější spam distributor. Příští přišel Indonésie a Brazílie. Podíly zemí v Top 20 se významně nezměnily, se všemi výkyvy v rozmezí od 1 procentní bod.
Zdroje spamu podle zemí v 1. čtvrtletí 2012
Je zajímavé, že ačkoliv země ve stejném regionu, mají obvykle podobné a dolní maxima se v distribuci spamu, každá asijská země vypadá, že má vlastní dynamiku. Například, trendy svědčí Jižní Koreji a Vietnamu - oba v pěti distributorů - téměř opak.
Dynamika šíření spamu z Jižní Koreje a Vietnamu (Q1 2012)
To naznačuje, že infikované počítače v těchto zemích jsou připojeny k různým botnetů. Není divu: v okamžiku, Asie je atraktivním regionem pro botmasters, a zcela různé robotické sítě mohou mít počítače z regionu do svých sítí.
E-maily s přílohami škodlivým
Podíl e-mailů se škodlivými přílohami
V 1. čtvrtletí roku 2012 průměrný podíl e-mailů se škodlivými přílohami zvýšil o 0,1 procentního bodu a dosáhla 3,3%. Níže uvedený graf ukazuje rozložení škodlivého spamu do měsíce.
Podíl nevyžádané pošty s nebezpečnými přílohami v 1. čtvrtletí 2012
Jak je vidět z grafu, tam byl vrchol v lednu - přes 4% všech e-mailů obsahovala škodlivé přílohy. V únoru a březnu se podíl škodlivého spamu činil 2,8%.
Ledna Vysoká lze vysvětlit dlouhých novoročních svátků v Rusku a nízká úroveň podnikatelské činnosti v dalších třech týdnech v lednu. Je zřejmé, že kvůli nedostatku zakázek mnoho botmasters začal šířit spam pro partnerské programy, dávat přednost farmaceutického spamu a škodlivého kódu.
Možná, že snížení množství škodlivého kódu v mailového provozu v únoru a březnu byla dočasná a lze předpokládat, že ve druhém čtvrtletí podíl škodlivých korespondenci zvýší. Je třeba připomenout, že k distribuci malwaru, spammeři používají jak nebezpečné přílohy a nebezpečné odkazy. To znamená, že snížení množství škodlivých příloh mailů nemusí vždy znamenat, že je pokles podílu škodlivých pošty jako takové.
E-mail antivirový software úrovně pro různé země
E-mail antivirový software sazby pro různé země v prvním čtvrtletí roku 2012 byly následující:
E-mail antivirový software hladina v 1. čtvrtletí 2012
Množství e-mailových odhalení antivirových registrovaných na území loňské vůdce, Rusko, tvořily jen asi 2%, vedení ji z Top 10 v 1. čtvrtletí 2012. USA trumfl hodnocení ale nedošlo k výrazným změnám v úrovni odhalení antivirových tam - až o 0,5 procentního bodu. Hong Kong zdvojnásobila svůj předchozí výsledek se vyšplhat až na druhém místě v hodnocení.
V naší výroční zprávě za rok 2011 spamu jsme zmínili, že po celý rok odhalení e-mailové antivirových v USA a Indii provozovat v inverzních cykly: více nebezpečných e-mailů, které byly zjištěny v USA, méně byly zaznamenány v Indii, a naopak. V 1. čtvrtletí 2012, nicméně, tento odkaz nebylo zřejmé.
V naší spam zprávě za 3. čtvrtletí 2011 jsme uvedli, že detekční sazby v USA a Austrálii byly více či méně synchronní, což může být až na podobné internetové krajiny z těchto zemí. Tento trend pokračoval iv 1. čtvrtletí 2012.
E-mail antivirový software aktivita v USA a Austrálii v prosinci 2011 - březen 2012
Podrobnější analýza ukázala úzkou souvislost mezi místními vrcholy v e-mailových antivirových odhalení v těchto zemích v průběhu března.
E-mail antivirový software činnost v USA a Austrálii den (březen 2012)
Top 10 škodlivé programy jsou distribuovány prostřednictvím mailů
Trojan-Spy.HTML.Fraud.gen zůstal nejvíce široce distribuovaný škodlivý program v 1. čtvrtletí 2012 účetnictví pro 14% ze všech detekcí. Tento trojský kůň využívá technologii spoofing a imituje HTML stránku. Dodává se s phishingový e-mail obsahující odkaz na falešné stránky se podobat tomu dobře známé banky nebo e-pay systém, kde je uživatel vyzván k zadání přihlašovacího jména a hesla. Údaje uvedené na stránce je poslán do kybernetických zločinců.
Top 10 škodlivé programy jsou distribuovány prostřednictvím pošty v 1. čtvrtletí 2012
E-mailové Worm.Win32.Mydoom.m opět skončila druhá. Tato mailový červ a podobně Mydoom.l (na 8. místě) má pouze dvě funkce - sklidit e-mailové adresy a posílat kopie sebe na tyto adresy. Tři zástupci E-Worm.Win32.NetSky rodiny obývající šestého, sedmého a devátého místa, respektive mají stejné funkce, zatímco Bagle.gt, další mailový červ na čtvrtém místě v hodnocení, kromě obvyklých funkcí také Soubory ke stažení škodlivé programy z internetu.
Nápadně, distribuce mailových červů je zcela nekontrolované v tom, že jejich mechanismus není připojen k žádné příkazy od svých "pánů". Rodiny prezentované v hodnocení byly šíření prostřednictvím mailového provozu již několik let as největší pravděpodobností se stala nerentabilní pro jejich tvůrci už dávno. Kromě phishing programu Trojan-Spy.HTML.Fraud.gen, zločinci se distribuci nových modifikací různých trojské koně nebo trojské kapátka. Velmi často nebezpečné zásilky projdou tak rychle, že příslušné údaje nemají čas se objevit v databázích antivirů. V tomto případě Email Anti-Virus blokuje škodlivý přílohu s pomocí proaktivních metod. V prvním čtvrtletí roku 2012 bylo 11% ze všech programů blokovaných Email Anti-Virus zjištěny aktivně.
Dále je důležité si uvědomit, že za účelem šíření malware, spammeři používají jak nebezpečné přílohy a nebezpečné odkazy.
Phishing
V prvním čtvrtletí roku 2012 objem phishingových e-mailů se mírně snížil a činil pouhých 0,02% ze všech mailů.
Procento phishing e-maily v poštovní provoz ve 1. čtvrtletí 2012
V letošním roce byl zahájen nový zápis společnosti Kaspersky Lab z top 100 organizací, na něž phisherů, seskupených podle kategorií. Podrobnější informace o každé kategorii je k dispozici zde .
pic Top 100 organizací, podle oboru činnosti, na něž se zaměřuje phisherů v 1. čtvrtletí 2012 (na základě anti-phishing součástí detekcí)
Hodnocení je založeno na našich anti-phishing součástí odhalení aktivovaných při každém pokusu uživatele ke kliknutí na odkaz phishing, bez ohledu na to, zda je odkaz ve spamu e-mailu nebo na webové stránce.
V 1. čtvrtletí 2012 distribuce phishingových útoků organizace byla poměrně stabilní. Mezi nápadnými posuny byl nárůst počtu útoků na Amazonu v lednu. V prvním měsíci roku se on-line obchody a e-aukce kategorii obsadil druhé místo v hodnocení. Nicméně, v únoru to bylo nahrazeno v kategorii sociální sítí, která viděla své postavení posílena vlnou útoků na Facebooku. Tento závod byl jeden nejvíce cílené místo pro poslední dva měsíce.
Podle KSN jsou phishingové odkazy klikli z poštovních klientů asi v 70% případů, což znamená, e-mail zůstává hlavním distribučním kanálem pro phishing odkazy.
Závěr
Množství nevyžádané pošty v mailového provozu se snižuje což je povzbuzující. Je to způsobeno především na aktivní anti-kampaní botnet z různých nezávislých organizací. Zkušenosti však ukazují, pouze závěrečné botnety nestačí k účinnému boji proti hrozbám. Společné úsilí ve spolupráci s donucovacími orgány, stejně jako vyšetřování a soudních řízení, jsou povinné. Práce v tomto směru je v plném proudu. Například několik finančních institucí ve Spojených státech, společně s Microsoftem a podala žalobu majitelů Zeus botnet obvinil je z porušování různé zákony z CAN-SPAM (zákon USA proti spamu) do RICO zákona - vyděrač-ovlivňoval Poškozený a organizace zákon.
Geografie spamu nezměnila ve srovnání s předchozím čtvrtletím. Nicméně, neměli bychom očekávat, že zůstane stabilní: zpravidla uzavření botnetů drasticky mění geografii zdrojů spamu, protože zločinci se snaží organizovat nové robotické sítě v bezpečnějších (a výhodnější) místech.
Ačkoli procento škodlivých příloh ve spamu poklesl, zůstává stále vysoká. Navíc, mnoho nebezpečných e-mailů obsahuje odkazy na stránky s exploity, které se používají v nebezpečných útoků, spíše než příloh. Tyto odkazy používají různé přesměrování na stránky, které obsahují využívají sad - sady využije, jejichž cílem je najít slabá místa v populárních aplikací, jako je Java, Flash Player a Adobe Reader nainstalován na počítači uživatele. Lidé za takové nevyžádané pošty jsou obvykle velmi kreativní, s využitím různých sociálních inženýrství.
V tuto chvíli to může být nebezpečné jak pro klikněte na odkaz ve spamu a otevřít připojený soubor (i když je to jen textový dokument). Kromě toho jsou některé moderní nebezpečné programy navrženy tak, aby je nebezpečné i pro otevření nevyžádaných e-mailů sám. Jsme znovu doporučuje uživatelům aktualizovat jejich software a odstranit spam, aniž by je otevřeli.
Žádné komentáře:
Okomentovat