13 июля 2015

Спам и фишинг в 1-м квартале 2015 года: банки и банковские трояны

Бизнес

В мае Securelist выпустил очередной отчёт по спаму и фишингу, охватывающий первую четверть года. Спам был и остаётся одной из наиболее досаждающих проблем, с которыми приходится иметь дело коропоративному ИТ-персоналу. Количество спама в мировом почтовом трафике в настоящее время чуть ниже 60%. Это гораздо меньше, чем несколько лет назад, когда спам занимал более 90% почтовых отправлений, но это всё ещё слишком много. Основная проблема заключается не в самой нежелательной почте, сама по себе она почти безвредна. А вот когда она вперемешку с вредоносными программами или фишинговыми письмами, тут-то и подстерегает настоящая опасность.

Итак, что же в минувшем квартале?

«В январе 2014 года была запущена новая программа регистрации новых общих доменов верхнего уровня, предназначенных для определенных типов сообществ и организаций. Основным преимуществом этой программы является возможность для организаций выбрать ту доменную зону, что полностью согласуется с их деятельностью и тематикой их сайтов», — пишет Securelist.

Новые бизнес-возможности, предоставляемые программой, были с энтузиазмом встречены интернет-сообществом. Неудивительно, что спамеры и киберпреступники тоже быстро отреагировали. Почти сразу новые доменные зоны стали ареной для крупномасштабной дистрибуции рекламного спама, фишинговых и вредоносных писем. Киберпреступники регистрировали домены для массовой рассылки спама, взламывали существующие сайты для размещения на них спам-страниц и/или использовали эти и другие веб-ресурсы в качестве звеньев цепи, перенаправляющих пользователей на спам-сайты.

Вследствие этого резко увеличилось число новых доменов, раздающих спам всевозможных видов и содержания, как связанный с именем домена, так и совершенно не имеющий к нему отношения. Если домены .work рассылали предложения разных услуг, например, обслуживания бытовой техники, строительства или монтажа оборудования (компании, использующие подобные средства рекламы на самом деле не внушают уважения), то домены .science рекламировали адвокатов по уголовным делам наряду с различными образовательными курсами.

Кстати, есть еще домены .color, такие как .blue, .pink, и т.д. Они оказались источниками спама, продвигающего азиатские сайты знакомств.

Теперь о действительно серьёзных угрозах

Как было сказано выше, спам превращается в настоящую проблему, как только его начинают использовать для распространения вредоносного ПО или «заражают» фишингом.

Первый квартал 2015 года не стал исключением: зафиксировано более чем достаточно случаев рассылки вредоносных вложений. В первой четверти года мошенники часто использовали спам для распространения макровирусов — программ, написанных в макросах, встроенных в системы обработки данных (текстовые и графические редакторы, электронные таблицы и т.д.). Неудивительно, что в этих случаях вредоносные вложения были докуменами Microsoft Office (.doc, .xls), которые при открытии запускали скрипты VBA. Затем скрипт загружал и устанавливал другие вредоносные программы, такие как банковские трояны.

«В принципе, вредоносные вложения имитировали различные финансовые документы: уведомления о штрафах или денежном переводе, неоплаченных счетах, платежах, заказах и жалобах, электронных билетах и т.д., — пишет Securelist. — Среди этих мошеннических уведомлений были поддельные сообщения, отправленные от имени общественных учреждений, магазинов, гостиниц, авиакомпаний и других известных организаций».

По крайней мере, однажды была зарегистрирована массовая рассылка сообщений, сделанных по одному шаблону, имевших лишь адрес отправителя и сумму денег в теме письма, зато содержание в теле сообщения могло варьироваться. Во вложении находился документ с искаженным текстом, выглядевшим как отображённый в неправильной кодировке. Мошенники пытались убедить жертву включить макросы для того, чтобы получить возможность запустить свой вирус. Microsoft отключил макросы по умолчанию в 2007 году из соображений безопасности. Теперь преступники пытаются убедить пользователей убрать свои щиты, хочется надеяться, без особого успеха.

Trojan-Banker.Win32.ChePro.ink стал вредоносной программой, которую чаще всего рассылали по электронной почте, — это загрузчик, который приводит за собой трояны, предназначенные для кражи конфиденциальной финансовой информации. Большинство вредоносных программ этого типа нацелено на бразильские и португальские банки.

spam_wide

Фишинг

В первом квартале 2015 года, система Анти-Фишинг сработала 50 077 057 раз на компьютерах пользователей продуктов «Лаборатории Касперского». Это на 1 миллион больше, чем в предыдущем квартале.

С учётом некоторого спада в общем объеме спама по сравнению с 4-м кварталом 2014 года дополнительный миллион фишинговых попыток выглядит особенно тревожно.

Статистика «Лаборатории Касперского» показывает, что глобальные интернет-порталы (электронная почта, поисковые системы, и т.д.) находятся в верхней части рейтинга организаций, подвергающихся нападениям фишеров — свыше 25%. Facebook, Google и Yahoo! являются наиболее атакуемыми, как и в 4-м квартале 2014 года.

Финансовые организации — банки, интернет-магазины и электронные платежные системы становились мишенями чаще всего: на их долю приходится более 37%.

Общая динамика

Оборот спама в почтовом трафике в первом квартале 2015 года достиг 59,2%, что на 6 процентных пунктов меньше, чем в предыдущем квартале. Возможно, сказался сезонный фактор, ведь основные праздники в странах Запада приходятся на 4-й квартал, чем спамеры и мошенники и пытаются воспользоваться.

Фишинг растет. Число банковских троянов тоже. Это тенденция указывает на охоту киберпреступников за деньгами, преимущественно, за средствами организаций.

Если судить по прошлым квартальным отчётам, создаётся впечатление, что количество спама неуклонно снижается: с 80,5% от общего почтового трафика в 1-м квартале 2010 года до текущего уровня в 59,2%. В первых кварталах присутствуют спады с последующим ростом во вторых четвертях. Но в целом объём спама сокращается. До победы в этой войне ещё далеко, но уже есть основания для осторожного оптимизма. Ясно, что эффективность антиспамовых инструментов улучшается, хотя технические средства борьбы со спамом — только часть того, что требуется, для того чтобы окончательно решить эту проблему. Другой крайне важный фактор заключается в информировании и обучении людей тому, как не стать жертвами обмана спамеров и фишеров.