Мемуары о будущем

Дмитрий Беляев

Количество спама в 2012 году резко снизилось, но он по-прежнему остаётся опасным

Опубликовано: 13 января 2013 года






Ушедший 2012 год принес серьезные изменения в спам-индустрию.

Количество спама снизилось. Однако несмотря на положительные тенденции, спам по-прежнему остается опасным.

Об этом свидетельствует нижеприведённый аналитический материал, подготовленный «Лабораторией Касперского».

Одной из особенностей последних 12 месяцев стало самое продолжительное снижение доли нежелательных рассылок, которая уменьшилась за отчетный период на 8 процентных пунктов. В целом же по итогам 2012 года этот показатель в разных почтовых системах составил 72%.

Количество спама в 2012 году уменьшалось в течение всего года. По итогам года доля спама в среднем составила 72,1% — на 8,2% меньше, чем в 2011 году.

Кроме того, средний процент спама в 2012 получился существенно ниже, чем в 2010 (82,2%) и 2011 (80,3%) годах, когда активно закрывали командные центры ботнетов и фармацевтические партнерские программы. В 2012 году доля спама была самой низкой за последние 5 лет.

Основная причина уменьшения количества спама в почте — повышение общего уровня антиспам-защиты.

Во-первых, в настоящее время спам-фильтры стоят на любой, даже бесплатной почтовой системе, причем уровень детектирования спама, как правило, не ниже 98%.

Во-вторых, многие почтовые провайдеры ввели политику обязательной DKIM-подписи (цифровой подписи, верифицирующей домен, с которого пришло письмо).

DKIM появилась еще в 2006 году, но распространялась довольно медленно. Только за последние пару лет она стала для почтовых провайдеров важным критерием, определяющим, доставлять ли письмо адресату. Поэтому злоумышленники стали подделывать DKIM-подписи. Это было возможно, поскольку многие компании использовали алгоритм шифрования подписи, актуальный на 2006 год, и в 2012-м зашифрованные с его помощью DKIM легко взламывались.

Однако в этом году в журнале Wired была опубликована статья, в которой описывалась проблема некриптостойкого шифрования DKIM-подписи. После этой публикации многие крупные компании, такие как Google, Yahoo и Microsoft, сменили шифрование подписи с помощью 512-битного ключа на более современное (с помощью 1024- или 2048-битного ключа). После этого подделка стала невозможной (по крайней мере, при нынешнем развитии вычислительных мощностей).

В результате принятых мер по усилению защиты от спама количество спамовых писем, достигающих ящиков пользователей, сократилось до минимума. Это делает спам крайне неэффективным, поэтому заказчики спама мигрируют на другие платформы, и количество спама в почте уменьшается.

География распространения спама

Изменилась и география распространения почтового спама. Больше всего его рассылается из азиатского региона, лидерство которого обеспечено преимущественно за счет Китая, значительно укрепившего свои позиции (кликабельно):

Китай, который в прошлом году даже не вошел в первую двадцатку стран — источников спама, в 2012 вышел на первое место с показателем 19,5%.

На 13,5% увеличился процент спама, распространенного из США, которые по итогам года заняли второе место в рейтинге (15,6%).

Эти страны ранее уже были лидерами по рассылке спама. Количество спама, рассылаемого из Китая, уменьшилось в 2007 году, после принятия в стране антиспамового закона. Спам из США сошел на нет после закрытия командных центров нескольких ботнетов в 2010 году.

Однако эти страны лидируют по количеству интернет-пользователей, причем с большим отрывом от остальных стран мира.

Суммарно в США и Китае находится более 30% всех пользователей интернета. Конечно, такие большие потенциальные мощности не могли не заинтересовать организаторов ботнетов, которые стараются расширить сети зараженных машин.

Процесс перераспределения источников распространения спама по странам шел в течение всего года. Особенно заметно изменился состав лидеров Азиатского региона: на первое место вырвался Китай, тогда как прежние лидеры региона, такие как Индия, Индонезия и Южная Корея, сдали свои позиции.

Среди регионов, из которых рассылается спам, Азия по-прежнему лидирует. За год показатель этого региона вырос на 11,2% и по итогам года превысил 50% — таким образом, половина всей мусорной почты в мире рассылается из Азии.

Благодаря резко выросшему вкладу США в рассылку спама среди регионов на второе место в рейтинге вышла Северная Америка (15,8%), доля которой в прошлом году составляла всего 2%. В то же время из Латинской Америки (11,8%) спама стало рассылаться меньше на 8%.

Сдала свои позиции и Европа. В 2012 году суммарно из Западной и Восточной Европы было разослано 15,1% спама, это почти вдвое меньше, чем в 2011 году (30%).

Россия в рейтинге государств-распространителей спама поднялась на одну ступеньку вверх и теперь занимает 8-е место. Правда, доля нашей страны сократилась почти в полтора раза до 2,0%.

Легальная интернет-реклама как альтернатива спаму

Когда антиспам-эксперты отвечают на вопрос о том, что нужно, чтобы спама стало меньше, помимо антиспамового законодательства, качественных фильтров и подготовленности пользователей, всегда упоминается возможность дешевой рекламы на легальных платформах.

С появлением Web 2.0 возможности рекламы в интернете значительно расширились: появилась баннерная, контекстная реклама, реклама в социальных сетях и блогах.

Реклама на легальных рекламных площадках не вызывает раздражения у пользователей, получающих рекламные предложения, не блокируется спам-фильтрами, а рассылки направляются целевой аудитории, заведомо заинтересованной в покупке. Кроме того, в расчете на одного откликнувшегося пользователя, легальная реклама может быть значительно дешевле рекламы в спаме!

Основываясь на результатах некоторых сторонних исследований, мы подсчитали, что при средней цене в 150 долларов за 1 миллион разосланных спам-сообщений итоговая CPC (cost per click, стоимость одного пользователя, прошедшего по рекламной ссылке в сообщении) составит минимум 4,45 долларов. При этом аналогичный показатель в социальной сети Facebook составит всего 0,1 доллара.

Таким образом, по нашим оценкам легальная реклама эффективнее, чем спам.

Наш вывод косвенно подтверждается тем, что классические для спама категории рекламы (такие как реклама реплик элитных товаров), переходят в социальные сети. Мы даже нашли некоторые соответствия: IP-адрес магазина, рекламируемого через Facebook, ранее был замечен в спаме.

Внимание рекламодателей привлек и еще один способ легальной рекламы в интернете — купонные сервисы. Сайты групповых скидок, на которых пользователям предлагаются так называемые купоны, появились несколько лет назад.

Покупая купон, пользователь получает скидку на товар/услугу. В этом году купонные сервисы стали особенно популярными: в разных странах мира многие компании стремятся с их помощью расширить клиентскую базу, а клиенты, в свою очередь, получают выгодные предложения.

Рекламодатели, ранее пользовавшиеся услугами спамеров, тоже обратили свое внимание на купонные сервисы.

Например, более 10% предложений на купонных сервисах относятся к категории «отдых и туризм», в то время как из спама эта рубрика практически исчезла. По-видимому, именно благодаря популярности купонных сервисов процесс миграции рекламы из спама на другие площадки стал более заметным.

Интересно, что популярность купонных сервисов отразилась и на спаме: злоумышленники начали подделывать письма от крупных купонных сервисов, используя их для рекламы собственных товаров и услуг или для направления пользователя на вредоносный сайт.

Отметим, что миграция на легальные платформы возможна преимущественно для рекламы легальных товаров и услуг.

Возможность такой миграции особенно актуальна для России и других восточноевропейских стран, в которых в спаме пока еще относительно много рекламы малого и среднего бизнеса.

Однако, учитывая, что даже в этих странах основная часть спама — это реклама контрафактных товаров, мошенничество и вредоносные письма, количество спама в почте по-прежнему будет оставаться высоким.

Вредоносные письма и мошенничество в спаме

2012 год поражает количеством тем, использованных во вредоносных письмах.

Ранее злоумышленники уже подделывали уведомления от хостингов, социальных сетей, служб доставки, сообщения от финансовых и государственных организаций. В этом году они расширили этот спектр. Появились подделки нотификаций различных авиакомпаний, сервисов заказов отелей и уже упомянутых купонных сервисов.

Подобные письма-подделки могут содержать как вредоносные вложения в архиве, так и вредоносные ссылки.

Схема атаки, в которой используются ссылки, одна и та же. Ничего не подозревающий пользователь нажимает на ссылку в письме. По ссылке он направляется на взломанный сайт со встроенным скриптом, в свою очередь перенаправляющим пользователя на вредоносный сайт с эксплойтами.

Чаще всего использовались редиректы на Blackhole exploit pack, но встречались и другие наборы эксплойтов.

Помимо описанной схемы злоумышленники несколько раз воспользовались официальной возможностью размещения контента на некоторых легитимных сайтах. В подделках под уведомления нами были замечены ссылки на сайты Wikipedia и Amazon.

Злоумышленники использовали возможность создавать странички на данных ресурсах для размещения на них вредоносного контента. Однако вредоносные странички удаляются с сайтов очень оперативно, пока спам-рассылки с соответствующими ссылками еще не успевают распространиться. Видимо, поэтому такой способ не пользуется у злоумышленников большой популярностью.

Ссылки на другие легитимные ресурсы также были зафиксированы в спаме.

Так, мошенники по-прежнему используют формы google.spreadsheets, чтобы воровать конфиденциальные данные пользователей (в основном логин и пароль от почтового ящика).

Среди методов социальной инженерии, которые используют злоумышленники, по-прежнему можно встретить подделки под личную переписку.

Причем сделаны они зачастую очень грамотно, по содержанию догадаться о том, что письмо является спамом, довольно сложно (кликабельно):

При проверке антивирусом файлов во вложенных архивах они детектируются как модификации различных вредоносных программ.

Злоумышленники обычно пытаются скрыть, что файлы в архиве — исполняемые (.exe), маскируя их под различные офисные приложения:

Встречались и подделки под личную переписку, составленные с расчетом на то, что жадность спровоцирует получателя открыть файл в архиве: пользователю якобы случайно попадает письмо с реквизитами Western.Union, по которым он якобы может получить некоторую сумму денег.

Однако вместо реквизитов Western Union во вложенном архиве находился троянец семейства Zbot.

Вредоносные вложения в почте

Несмотря на снижение доли спама в почте, доля писем с вредоносными вложениями понизилась незначительно и составила 3,4%.

Это очень большое значение, учитывая, что этот показатель включает только письма с вредоносными вложениями, тогда как в почте распространяется и спам со ссылками на вредоносные сайты.

Наиболее распространенным вредоносным вложением в 2012 году был Trojan-Spy.HTML.Fraud.gen — он с большим отрывом лидировал первые три квартала. В четвертом квартале в лидеры вышли Trojan-Spy.Win32.Zbot.fsfe и Trojan-PSW.Win32.Tepfer.cfwf. Эти три вредоносные программы созданы для кражи пользовательских аккаунтов (логина и пароля).

При этом Fraud.gen и Zbot (ZeuS) нацелены только на пароли от финансовых и платежных систем, Tepfer же ворует и другие пароли.

На втором и третьем местах рейтинга оказались почтовые черви.

Такое большое количество червей обусловлено тем, что, попав на компьютеры, они начинают активно распространять себя по адресам из адресных книг пользователей. Такие черви особенно распространены в странах Азии, где люди часто используют пиратское программное обеспечение и не обновляют антивирусные базы.

В черве Bagle, помимо основного функционала, есть возможность устанавливать на зараженную машину различные программы.

Наибольшее количество срабатываний почтового антивируса в 2012 пришлось на США. Но в некоторые месяцы лидировала Германия, занявшая в итоге второе место. Третье место занимает Великобритания. Россия заняла лишь девятую позицию (в то время как 2011 году она занимала первое место).

Интересно, что доля писем с вредоносными вложениями, отправленных американским пользователям, выросла одновременно с увеличением доли распространяемого из США спама.

Количество вредоносных писем, нацеленных на китайских пользователей, тоже увеличилось.

Скорее всего, распространяемые таким образом зловреды, помимо прочего функционала, загружали на компьютеры пользователей спам-боты. В результате зараженные компьютеры попадали в ботнет и начинали рассылать спам.

Фишинг

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Чаще всего в 2012 фишеры атаковали различные социальные сети (24,5%). Больше всего атак пришлось на социальную сеть Facebook.

Украденные аккаунты используются злоумышленниками в основном для рассылки спама и вредоносных программ по контакт-листу пользователя социальной сети.

Количество фишинговых атак на финансовые организации снизилось по сравнению с прошлым годом, но по-прежнему остается высоким (22,9%).

На третьем месте находятся онлайн-магазины и аукционы (18,4%), получив доступ к аккаунтам которых фишеры могут добраться до данных кредитных карт пользователей.

На четвертом месте с довольно большой долей (14,1%) находятся поисковые системы.

Так как многие поисковые системы, такие как Google или Mail.ru, являются крупными порталами, на них существует множество различных дополнительных сервисов для пользователей. Эти аккаунты и привлекают мошенников.

Кроме России и Индии, занявших четвертое и шестое места соответственно, в TOP 10 попали только страны с развитой экономикой.

Почти все страны из списка имеют развитые системы онлайн-банкинга, в них большое число пользователей социальных сетей. И именно социальные сети и финансовые и платежные системы чаще всего атакуют фишеры.

Хотя хостинг фишинговых сайтов не обязательно должен быть в той стране, пользователей которой атакуют фишеры.

Но есть один нюанс: фишеры, как правило, пытаются сделать название своего поддельного сайта максимально похожим на название настоящего ресурса (к примеру, заменяют одну букву из названия настоящего сайта), чтобы пользователь не заметил, что попал на мошенническую страницу.

Чтобы сайт действительно выглядел похожим, доменные зоны сайта-подделки и настоящего сайта тоже должны совпадать. Возможно, этим и объясняется такое распределение доменных зон.

Интересно, что 3 страны, в которых расположено больше всего фишинговых сайтов, — США, Германия и Англия — являются также странами, в которых пользователям рассылается наибольшее количество писем с вредоносными вложениями.

Мнения экспертов

Эксперты Почты Mail.Ru отмечают, что самое понятие СПАМа сегодня изменилось: благодаря фильтрам и аналитике количество вредоносных и мусорных писем от спам-рассыльщиков в почте стремится к нулю, поэтому пользователи чаще жалуются на вполне легальные рассылки и относят их к спаму.

«Сегодня большинство жалоб на спам приходится на письма от сервисов, на которые пользователь сам подписался. Чаще всего это купонные сервисы, сайты знакомств, онлайн-торговля, службы бесплатных почтовых рассылок, сайты для поиска работы и т.п., — комментирует Василий Беспалов, руководитель Антиспама Почты Mail.Ru. — Для того чтобы избавиться от надоевшей подписки, в Почте Mail.Ru достаточно один раз нажать кнопку «Это спам» — с этого момента все письма от данного отправителя будут помещаться в папку Спам.

Разумеется, это поведение индивидуально для каждого пользователя, но если мы видим большое количество жалоб на конкретного отправителя, наша антиспам-служба это проверит и при необходимости оградит от него и остальных пользователей.

С помощью персонального антиспама каждый день более 6 миллионов наших пользователей избавляются от 30 млн. нежелательных лично для них писем, это цифра без учета общей фильтрации».

«Уходящий год продемонстрировал положительную динамику снижения количества спама. Этому способствовало множество факторов, среди которых повышение уровня антиспам-защиты, требование почтовыми провайдерами цифровой подписи, подтверждающей домен, с которого отправлено письмо.

В результате распространение нежелательных рассылок становится неэффективным, что заставляет спамеров мигрировать на другие платформы, — комментирует Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского». — Заказчики электронных рассылок уже давно осваивают новые инструменты — баннерную и контекстную рекламу, а также предлагают товары и услуги в соцсетях и блогах.

Кроме того, сейчас особой популярностью пользуются купонные сервисы.

Все это отнюдь не означает, что в дальнейшем спам исчезнет, он останется инструментом мошенников и распространителей вредоносного кода, а значит, угроза для безопасности компьютеров и кошельков пользователей сохранится».

Заключение

В 2012 году доля спама весь год уменьшалась, в течение последнего квартала процент спама в почте не превышал 70. Это объясняется постепенным уходом из спама рекламы легальных товаров и услуг на более удобные легальные платформы.

Однако говорить о том, что скоро спама не останется, увы, не приходится: вредоносный спам, мошенничество и реклама нелегальных товаров просто не смогут мигрировать на легальные платформы в силу своего криминального характера. Ожидается, что в следующем году уменьшение доли спама будет небольшим.

В 2012 году значительно возросла доля спама, рассылаемого из США и Китая.

Когда-то эти две страны уже были лидерами среди стран — источников спама, но после принятия антиспамовых законов и закрытия ботнетов мусорной почты из этих стран стало рассылаться значительно меньше. Очевидно, спамеры все-таки хотят использовать мощные вычислительные ресурсы США и Китая и организуют в этих странах новые ботнеты.

Наиболее распространенными вредоносными программами в 2012 году стали программы, занимающиеся кражей логинов и паролей пользователей. Основной упор делался на логины и пароли к финансовым платежным аккаунтам, но злоумышленников интересовали и другие виды паролей: к аккаунтам социальных сетей, почты и других сервисов.

Количество вредоносных писем оставалось высоким в течение всего года.

Злоумышленники подделывают все больше различных легитимных уведомлений. В такой ситуации в очередной раз хочется напомнить пользователям: получив письмо, необходимо убедиться, что оно действительно пришло с заявленного ресурса; нельзя переходить по ссылкам в подозрительных письмах И очень важно своевременно обновлять программное обеспечение.

P.S.

Кликабельно:

Источник: kaspersky.ru

См. также:

0


1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: