«Лаборатория Касперского» подвела итоги второго квартала 2016 года в отношении спама и фишинга, отметив ряд ярко выраженных тенденций.

Троянцы-вымогатели по-прежнему продолжают терроризировать пользователей и, вполне очевидно, по праву могут быть признаны главной угрозой 2016 года. Вымогатели все так же активно доставляются через спам (главным образом в ZIP-архивах), хотя в период с 1 по 22 июля было замечено резкое снижение количества вредоносного спама, содержащего шифровальщики, в связи с временным затишьем ботнета Necurs. Однако, как только его работа была возобновлена, вредоносный спам вернулся и стал еще более сложным. В основном JavaScript-вымогатели маскируются под счета или прайс-листы. Самым популярным среди киберпреступников вымогателем по-прежнему является Locky.

Кроме непосредственно вымогателей еще одной серьезной угрозой стали целевые  APT-атаки против компаний корпоративного сектора. В ходе атак спамеры искусственно создавали ощущение срочности и важности сообщения, направляя весьма правдоподобные сообщения определенным сотрудникам — например, бухгалтерам.

Кроме того, спамеры не смогли не воспользоваться ажиотажем вокруг проходящей в Рио летней Олимпиады. Готовить сани мошенники начали прошлым летом: первые письма, связанные с Олимпиадой, появились еще год назад. Классический сюжет фальшивых уведомлений о выигрыше в лотерею, посвященную предстоящей Олимпиаде, заключается в том, что лотерея была проведена официальной организацией, а адрес получателя уведомления выбран из миллионов других адресов случайным образом. Для получения денежного выигрыша получателю необходимо ответить на письмо и предоставить требуемую персональную информацию. В прошлом квартале потенциальными жертвами фишеров стали не только обычные пользователи, но и сами организаторы Олимпийских игр.

Также спамеры не обошли вниманием чемпионат Европы по футболу: в преддверии этого события эксперты «Лаборатории» зафиксировали в спам-трафике фальшивые уведомления о выигрыше в лотерею. «Нигерийские мошенники» подошли к вопросу в своем уникальном стиле: они использовали ажиотаж вокруг антикоррупционного скандала в FIFA, выдумав историю о «тайных миллионах» экс-президента Йозефа Блаттера. Пользователям предлагалось сохранить имеющиеся средства на счету адресата за вознаграждение в размере 40% от общей суммы.

Помимо спортивных мероприятий темой спам-сообщений стала предвыборная гонка в США. Спамеры использовали имена известных политиков в своих кампаниях — например, «нигерийцы» рассылали письма от имени Барака Обамы и Мишель Обамы, в которых «президентская чета» лично уведомляла счастливчика о крупной сумме денег, выписанной на его имя, для получения которой нужно предоставить кое-какую личную информацию. Спамеры также использовали имя кандидата в президенты Дональда Трампа, назвав его именем «уникальную методику заработка».

Аналитические данные за квартал показали, что за второй квартал наибольшая доля спама в email-трафике наблюдалась в мае и составила 59,46% — это на 3% выше, чем в апреле. Средняя доля спама в мировом почтовом трафике за второй квартал 2016 года составила 57,25%.

В России доля спама в электронной почте традиционно выше общемирового уровня — за второй квартал она достигла 61,84%. Среди стран, являющихся основными источниками спама, по-прежнему лидируют США (10,79%), Вьетнам (10,10%) и Индия (10,01%). Россия с показателем 4,07% оказалась на шестом месте. Среди главных жертв спамеров — Германия (14,69%), Китай (13,61%) и Япония (6,42%); последняя продемонстрировала резкий скачок в рейтинге, переместившись за квартал с седьмого на третье место. Россия по итогам квартала по-прежнему располагается на шестом месте с показателем 4,36%.

Что касается фишинга, во втором квартале 2016 года продукты «Касперского» предотвратили 32 363 492 попытки перехода пользователей продуктов «Лаборатории Касперского» на фишинговые веб-страницы — это на 2,6 млн меньше по сравнению с показателями предыдущего квартала. За квартал от фишинговых атак пострадало 8,7% уникальных пользователей продуктов «Лаборатории Касперского» в мире.

Большинство жертв фишинга находятся в Китае (20,22%). На втором месте расположилась Бразилия с показателем 18,63%, а на третьем — Алжир (14,3%).

Направление фишинговых атак немного переместилось от тематики «Глобальные интернет-порталы» к «Финансовым организациям». Во втором квартале среди жертв фишинга заметно уменьшилась доля категории «Глобальные интернет-порталы» (20,85%), лидера прошлого квартала, — на 7,84%. В то же время атаки на финансовые организации увеличилась на 2%, до 46,23%. В эту категорию входят «Банки» (25,43%), «Платежные системы» (11,42%), «Онлайн-магазины» (9,39%).

Чтобы добиться успеха в ходе фишинговой кампании, киберпреступники идут на различные уловки. Например, для обхода фильтров защитного ПО мошенники стараются располагать фишинговые страницы на доменах с хорошей репутацией. Так вероятность блокировки значительно снижается, а доверие потенциальных жертв возрастает. Например, в прошедшем квартале была зарегистрирована изощренная атака на бразильский ecommerce-сайт; поддельная страница располагалась на домене крупного индийского банка. При попытке приобрести продукцию на поддельной странице магазина у жертвы запрашивается множество персональной информации. Для дальнейшей оплаты предлагается распечатать чек с логотипом уже бразильского банка.

Также в этом квартале замечено множество случаев размещения фишинговых страниц на доменах органов государственной власти разных стран.

Среди самых атакуемых фишерами организаций в этом квартале на первую строчку поднялась Microsoft (8,1%), второе место заняла Facebook (8,03%), а лидер предыдущего квартала, Yahoo! (6,87%), сместился на третью позицию.

Отчет показывает, что основной тенденцией квартала являлось мошенничество и получение денег от пользователей не с помощью сложного сценария, а довольно простым путем, таким как загрузка троянцев-шифровальщиков, вынуждающих незащищенных пользователей платить выкуп, или фишинг, направленный на финансовые организации.

Категории: Аналитика, Вредоносные программы, Главное, Мошенничество, Спам