Специалисты «Лаборатории Касперского» подготовили очередной квартальный отчет по спаму и фишингу.

В январе — марте 2016 года ИБ-эксперты отметили резкое увеличение количества вредоносного спама. В течение последних двух лет количество срабатываний почтового антивируса у клиентов «Лаборатории» колебалось в пределах от 3 млн до 6 млн в месяц, но после последовательного роста количества спам-сообщений в начале текущего года произошел резкий скачок. В марте количество детектов достигло почти 23 млн — это вчетверо больше, чем среднее месячное значение предыдущего года.

В «Лаборатории» отметили, что повышение популярности вредоносных вложений в сравнении с вредоносными и фишинговыми сайтами обусловлено тем, что меры безопасности, которые принимают разработчики браузеров, отсекают большое количество переходов по вредоносным ссылкам. Так как встроенные средства защиты почтовых клиентов пока не доросли до этого уровня, злоумышленники используют «потенциал» вредоносных вложений по полной.

Вредоносные вложения, согласно отчету, очень разнообразны. Это и классические исполняемые EXE-файлы, и офисные документы (DOC, DOCX, XLS, RTF) со встроенными вредоносными макросами, и программы, написанные на Java и JavaScript (файлы JS, JAR, WSF, WRN и другие). Мошенники также заговорили на многих языках, от русского до португальского.

Излюбленным приемом злоумышленников остается имитация деловой переписки — вредоносные вложения преподносятся ими как важные счета и документы. В частности, этим в течение квартала пользовались распространители набирающего популярность шифровальщика Locky: содержание электронных писем обычно было связано с корпоративными или платежными документами и мотивировало пользователя (зачастую — сотрудника компании) открыть вложение. Если жертва поддавалась на эту уловку, криптоблокер шифровал на пораженном компьютере документы с определенными расширениями (в частности, офисные документы) и требовал выкуп в биткойнах.

Еще одной «горячей» темой квартала стал международный терроризм. Терроризм остается на повестке дня и в СМИ, и на встречах политических лидеров. Участившиеся теракты в странах Европы и Азии становятся главной угрозой для мирового сообщества, и тема терроризма активно используется злоумышленниками для обмана пользователей. Воспользовавшись всеобщей обеспокоенностью, спамеры начали рассылать сообщения, содержащие сведения о мерах или средствах безопасности — например, о новой программе, способной обнаружить взрывное устройство при помощи смартфона, которая на деле оказывалась троянцем, похищающим персональные и учетные данные и служащим для организации DDoS-атак.

«Нигерийские» мошенники в прошедшем квартале заметно активизировались и тоже эксплуатировали тему терроризма. Некоторые письма были отправлены якобы от имени военных США или представителей закона, выясняющих происхождение больших сумм. Среди авторов писем были и «мусульмане», противостоящие ИГИЛ (организация запрещена в РФ), и желающие пожертвовать свои деньги «на правое дело» борьбы с терроризмом. Также «нигерийские» спамеры стали чаще отказываться от длинных пространных писем в пользу коротких, сжатых сообщений, стремясь завлечь собеседника в переписку и вызвать его доверие.

spam_q1_2016_ru_13

Как и в прошлом квартале, киберпреступники активно использовали новые методы обфускации коротких ссылок. Например, спамеры начали вставлять символы между доменом сервиса коротких ссылок и финальной ссылкой — слеши, буквы и точки.

Доля спама в почтовом трафике практически не менялась на протяжении последних месяцев 2015 года. Но в январе 2016-го стал заметен рост доли нежелательной корреспонденции (более 5%), который затем снизился в феврале и слегка увеличился в марте. По итогам квартала средняя доля спама в мировом почтовом трафике за первый квартал 2016 года составила 56,92%.

В России ситуация со спамом обстояла иначе: доля нежелательной корреспонденции резко выросла еще в ноябре 2015 года и держалась на уровне 64–65% до января 2016 года. В феврале, как и в случае с общемировым показателем, произошел спад доли спама с последующим небольшим подъемом в марте. Средняя доля спама в российском почтовом трафике за первый квартал 2016 года составила 61,93%.

Самыми активными спамерами стали американцы — доля США в общем количестве исходящего спама составила 12,43%. Следом с заметным отрывом расположились Вьетнам (10,30%) и Индия (6,19%). Россия в этом антирейтинге опустилась со второго на седьмое место (4,89%). Что касается наиболее частых жертв спама, первое место среди стран по-прежнему занимает Германия (18,93%), а на второй позиции неожиданно оказался Китай (9,43%), в 2015 году не входивший даже в первую десятку. Замыкает первую тройку Бразилия (7,35%). Россия по итогам квартала оказалась на шестом месте с показателем 4,47%.

Из-за более частого использования автоматических проактивных средств определения вредоносных спам-сообщений собрать адекватную статистику оказалось нелегко. В «Лаборатории Касперского» решили руководствоваться данными по семействам зловредов, детектируемых продуктами компании. Топ-10 вредоносных семейств, излюбленных спамерами, возглавили Trojan-Downloader.JS.Agent, Trojan-Downloader.VBS.Agent и Trojan-Downloader.MSWord.Agent.

Проанализировав показатели системы «Антифишинг», эксперты «Лаборатории» определили, что наибольшее количество жертв фишинга живет, как и прошлом квартале, в Бразилии (21,5%). На втором месте Китай (16,7%), далее — Великобритания (14,6%). Во всех странах, возглавивших топ по количеству жертв фишинга, зарегистрирован заметный рост инцидентов.

Среди компаний, ставших мишенями для фишинговых атак в прошедшем квартале, лидируют организации в категории «Глобальные интернет-порталы» (28,69%). Вторую и третью позицию занимают две финансовые категории — «Банки» и «Платежные системы». Замыкают первую пятерку категории «Социальные сети» (11,84%) и «Онлайн-магазины» (8,40%). Среди онлайн-магазинов излюбленной целью фишеров является Apple Store (27,82%). За ним с заметным отрывом следует Amazon (21,60%), а замыкает первую тройку игровая платформа Steam (13,23%). Самыми часто атакуемыми фишерами корпорациями стали Yahoo! (8,51% фишинговых рассылок), Microsoft (7,49%) и Facebook (5,71%).

Если обобщить самые заметные тенденции в мире спама и фишинга в первом квартале 2016 года, эксперты зарегистрировали ожидаемо умеренный рост общего количества спама, связанный с сезонными причинами, в то время как количество вредоносного спама резко возросло, достигнув пика в марте. Набирающие популярность криптоблокеры все чаще распространяются через спам. Кроме того, спам-сообщения становятся все короче. В первом квартале сообщения, размер которых не более 2 Кбайт, превысили 80% от всего спама.

Как отметили в «Лаборатория Касперского», рост объемов вредоносного спама вполне объясним: спам криминализируется и использует расширенный инструментарий киберпреступлений. В данный тренд также попадает активизация «нигерийцев». Несмотря на стремительный рост вредоносного спама, эксперты склоняются к мнению, что пользователи таким образом узнают о подобных атаках все больше и относятся к подозрительным вложениям с недоверием. Однако в «Лаборатории» предполагают, что маятник качнется в обратную сторону и мошенники придумают новые, более изощренные способы обмана пользователей.

Категории: Аналитика, Вредоносные программы, Главное, Мошенничество, Спам