Доля спама в почтовом трафике в третьем квартале составила в среднем 85,7%

Согласно данным, предоставленным в "Лаборатории Касперского", доля спама в почтовом трафике в третьем квартале составила в среднем 85,7%. Летом количество спама было традиционно немного ниже, а в сентябре оно стало заметно расти. Однако это не свидетельствует об общей тенденции к росту доли спама в почтовом трафике, — сентябрьский рост доли спама связан с окончанием сезона отпусков.

Самый низкий долевой показатель спама наблюдался 1 августа, он составил 76,3%. Это был единственный день за три месяца, когда уровень спама опустился ниже отметки в 80%. Самый высокий показатель был отмечен 27 сентября и составил 91,3%.

Фишинговые письма в третьем квартале 2009 года составили около 1% (0,99%) всех электронных писем. По сравнению со вторым кварталом (0,49%) их доля в почтовом трафике увеличилась вдвое.

Как и раньше, наиболее часто атакам, подвергались платежная система PayPal и аукцион eBay. Лишь в августе они временно уступили свои лидирующие позиции, причем доля фишинг-атак на PayPal и eBay сократилась очень существенно. В то же время увеличился процент атак на банки. Так, доля атак на банк Chase, обычно не превышающая 2%, увеличилась до 30,6%. В похожем «выигрыше» оказались и другие банки: доля атак на Bank of America в августе составляла 19% (обычно — 3-5%). Атак на Ally Bank также было значительно больше, чем в другое время: 11,08% вместо обычных 1-2%. На этом примере видно, что, хотя PayPal и eBay и являются излюбленными мишенями фишеров, периодически основными целями злоумышленников становятся банки. Так, банк Chase подвергался аналогичной массированной атаке около года назад.

Среди новинок в области фишинга можно назвать сообщения, в которых вместо ссылок на поддельные сайты указывается телефонный номер, на который якобы нужно позвонить, чтобы получить доступ к своему счету.

В других сообщениях использовался характерный для фишинговых писем прием, — в них сообщалось о том, что аккаунт пользователя в скором времени будет заблокирован. Речь, однако, шла не о банковском счете или почтовом сервере, а об аккаунте пользователя на сайте онлайн-аптеки. Потеря такого аккаунта якобы лишит пользователя возможности покупать медикаменты без рецепта врача. Чтобы избежать этого рекомендовалось срочно сделать заказ на сайте.

В третьем квартале 2009 года одновременно с активизацией фишинговых атак вырос и процент писем, содержащих вредоносные вложения. Их доля составила в среднем 0,46% всех электронных писем, что на 0,29% выше, чем в прошлом квартале. Основной вклад в высокий квартальный уровень вредоносов внес сентябрь. В июле и августе количество таких писем было невелико (0,11% и 0,05% соответственно), однако в сентябре их доля выросла до небывалых высот — 1,22%.

Если в первые два месяца большей популярностью у спамеров пользовались такие вредоносные программы как Email-Worm.Win32.NetSky, Net-Worm.Win32.Mytob и Backdoor.Win32.Bredolab (2 червя и троянская программа, основные цели которых — сбор адресов и включение компьютера в зомби-сеть), то в сентябре лидерами стали Trojan-Downloader семейства FraudLoad (48,6% от общего числа писем с вредоносными вложениями).

Целью программ-даунлоадеров является загрузка и установка на зараженном компьютере вредоносной или рекламной программы. Семейство FraudLoad создано для установки на компьютер жертвы популярных в последнее время поддельных антивирусов. Эти программы выдают на экран монитора сообщения о несуществующих угрозах и предложения заплатить за их удаление. Как правило, фальшивые антивирусы довольно сложно удалить с компьютера.

Большая часть вредоносных писем была подделана под сообщения от известных служб доставки (чаще всего DHL и UPS) или систем денежного перевода (чаще всего Western Union). В письмах сообщалось, что служба не смогла доставить, отправленную пользователем посылку (либо на его имя пришел денежный перевод), а в приложении находится квитанция (либо контрольный номер перевода). На самом деле в приложении находилась вредоносная программа.

Также злоумышленники использовали популярность социальных сетей. Например, одно из писем имитировало приглашение стать пользователем социальной сети Twitter.

Рейтинг стран, из которых рассылается спам, выглядит традиционно: на первом месте США, на втором Бразилия, в ТОП 10 по-прежнему много восточных и восточно-европейских стран. Однако количество спама, рассылаемого из разных стран, менялось в течение квартала. Так, в августе доля спама, рассылаемого из США, существенно сократилась. В то же время резко увеличился процент спамовых писем, рассылаемых из Польши.

Количество суперкоротких писем (менее 5Кб) уменьшилось по сравнению с первым полугодием. В третьем квартале оно составило 47,2% от общего количества спамовых писем, что меньше усредненного показателя за первое полугодие на 10,7%. А вот писем, размер которых составляет от 5 до 10Кб и от 10 до 20Кб, стало несколько больше. В третьем квартале доля писем в формате html выросла на 8,2%, по сравнению со средним показателем первого полугодия.

Таким образом, в спаме стало меньше коротких писем в текстовом формате и больше коротких писем в формате html. Это говорит о том, что спамеры заботятся о внешнем виде своих писем. Кроме того, в html-формате намного проще скрыть от неискушенного пользователя настоящий URL, на который ведет ссылка в письме.

Источник: http://www.cybersecurity.ru/