Спам и фишинг в 3-м квартале: Грязные трюки лета

Бизнес

Каково это — работать со спамом? Нет, не спамить всем, что у вас есть, а наоборот. Каково это — находить способы не пропускать спам?

Академически это должна быть захватывающая дисциплина, возможно, чем-то сродни энтомологии (хотя настоящие спам-аналитики могут и не согласиться с таким сравнением). Какое предприятиям дело до спама и его тенденций? Навскидку, всё дело в необходимости знать хитрости спамеров, которые изо всех сил изощряются с целью привлечь незаслуженное внимание к рекламируемым предложениям. Что ещё хуже, спам также используется для распространения вредоносных программ и фишинговых писем. Так что знаешь спам — знаешь и врага своего. В каком-то смысле.

У нас есть отчёт «Лаборатории Касперского» о спаме в третьем квартале. Давайте взглянем.

Летние развлечения

Первым моментом является тот факт, что объёмы спама пошли в рост, хоть и очень небольшой — всего на 0,8% по сравнению со средней долей предыдущего квартала (в настоящее время спам составляет 54,2% в общем трафике электронной почты). Это было предсказуемо, так как сезон отпусков, по сути, заканчивается в третьем квартале, и спамеры, как правило, стремятся этим воспользоваться.

Это и наблюдалось на самом деле — эксплуатация летнего курортного сезона. Поддельные уведомления о бронировании услуг, от авиакомпаний и отелей использовались для распространения вредоносных программ, таких как Trojan-Downloader.JS.Agent.hhy, замаскированный под электронный авиабилет или гостиничную бронь.

Другой тип спама в электронной почте предлагал на выбор невест (в основном, из России и Украины) иностранным женихам. После ответа на письмо жертвам направлялись дополнительные письма спама, в том числе некоторые «невесты» просили денег, чтобы навестить «ухажёров».

Присутствовало в 3-м квартале и «широкое разнообразие» спама с тематикой знакомства — рекламировались всякие сайты знакомств/брачные агентства/ресурсы для взрослых, вдобавок, появился (отчасти) новый вид спама, мошенничавший внаглую. Массовая рассылка предлагала получателям отправить текстовое сообщение на определённый номер телефона, а в ответ девушка обещала прислать свои интимные фото. Простая проверка показала, что на другом конце был робот, рассылавший мобильное вредоносное ПО.

Новые уловки

В 3-м квартале киберпреступники придумали новый способ распространения фишинговых писем в обход спам-фильтров. Текст фишингового письма и поддельная ссылка были включены в PDF-документ, прикреплённый к письму. При нажатии на ссылку открывался стандартный фишинговый сайт, на котором пользователю предлагалось ввести информацию о себе.

Большинство писем, использовавших новый метод, маскировались под банковские уведомления. В теле этих сообщений, как правило, содержалось краткое описание проблемы, а иногда не было никакого текста вовсе.

Спамеры использовали хорошо известные фразы и приёмы в тексте писем: уведомления о блоировании аккаунта, необходимость пройти процедуру подтверждения, вопросы безопасности, расследование фишинговых инцидентов и т.п. Как обычно, мошеннические ссылки маскировались легальными и фрагментами текста.

Еще одна уловка заключалась в рассылке спама, имитирующего автоматический ответ о невозможности доставки письма, посланный сервером электронной почты, в котором содержался вредоносный ZIP-архив с Trojan-Downloader.JS.Agent.hhi. Последний, в свою очередь, загружал Backdoor.Win32.Androm.

Расцвет фишеров

Фишинговая деятельность продолжает усиливаться: по статистике «Лаборатории Касперского», в 3-м квартале 2015 года система Anti-Phishing сработала 36 300 537 раз на компьютерах пользователей продуктов «Лаборатории Касперского», что на 6 миллионов раз больше, чем в предыдущем квартале.

«Глобальные интернет-порталы» (30.93%) возглавили рейтинг организаций, подвергшихся нападениям фишеров, хотя их доля уменьшилась на 11,42 п.п. по сравнению с предыдущим кварталом. Yahoo!, «Вконтакте», Facebook оказались самыми частыми мишенями.

Доля «сайтов социальных сетей» (21,44%) увеличилась на 6,69 п.п. На третьем месте оказались «банки» с 18.07% (+4,65 п.п.). Категория «онлайновых игр» тоже подросла в полтора раза и составила 4,02%. Игры вызывают растущий интерес со стороны преступников, так как в них вовлечено много денег конечных пользователей.

Полностью свежий отчёт по спаму и фишингу в третьем квартале доступен здесь.