Spam 2013

Przeczytaj także: Ewolucja spamu VII-IX 2012

“Pseudolegalne” wysyłki

Z jednej strony, reklamodawcy chcą reklamować swoje towary i usługi za pomocą profesjonalnych, oficjalnych mailingów (bez stosowania sztuczek spamerskich i „szumu”, który sprawia, że reklamy są trudne do odczytania). Jednak z drugiej strony, wolą wykorzystywać ogromne bazy danych zawierające miliony adresów niż wysyłać swoje wiadomości nielicznym subskrybentom, których już posiadają.

Efektem jest rosnąca liczba „pseudolegalnych” wysyłek. Są to oficjalne mailingi wysyłane nie za pośrednictwem botnetów ale z własnych serwerów nadawców. Można się do nich zapisać jak również wypisać z nich. Jednak oprócz oficjalnych subskrybentów wiadomości te są często wysyłane na adresy pobierane z zakupionych przez firmy ogromnych baz danych – do osób, które nigdy nie wyraziły zgody na otrzymywanie takiej korespondencji. (Warto zauważyć, że zgodnie z prawem wielu państw, wysyłanie mailingów bez wcześniejszej zgody odbiorcy jest nielegalne).

Prowadzi to do sytuacji, w których część wysyłki jest legalna, część natomiast jest spamem. Taka sytuacja stanowi nowe wyzwanie dla branży antyspamowej i prowadzi do rozwoju nowych technologii opartych na reputacjach nadawcy.

Trend 2013 roku: fałszywe wiadomości od producentów rozwiązań antywirusowych

Celem szkodliwych i oszukańczych e-maili są łatwowierne osoby lub takie, których wiedza na temat bezpieczeństwa internetowego jest bardzo ograniczona. Trudno podejrzewać, aby rozsądna osoba uwierzyła w autentyczność wiadomości e-mail, w której zostaje poinformowana o wygraniu milionów dolarów. Z kolei ktoś, kto zna podstawowe zasady bezpieczeństwa IT, nigdy nie kliknąłby odsyłacza w wiadomości „pochodzącej z banku”, jak również nie podałby danych uwierzytelniających konto bankowe online.

W 2013 roku wykryliśmy kilka wysyłek, które przypominały wiadomości od producentów rozwiązań antywirusowych, tj. były przeznaczone dla osób, dla których podstawy bezpieczeństwa nie stanowią tajemnicy.

Jak wiadomo, eksperci ds. bezpieczeństwa IT zalecają użytkownikom regularne aktualizowanie swojego rozwiązania antywirusowe jako podstawowe działanie w celu zapewnienia niezawodnej ochrony swojemu komputerowi. Niestety, cyberprzestępcy próbują wykorzystać to do własnych celów. W e-mailu wysłanym w imieniu producenta rozwiązań antywirusowych oszuści ponaglali użytkowników, aby natychmiast uaktualnili swoje systemy z wykorzystaniem załączonego pliku. Wiadomość pozostawała niezmieniona we wszystkich e-mailach, jednak w polu „nadawca” spamerzy wykorzystywali nazwy praktycznie wszystkich największych firm oferujących rozwiązania antywirusowe, w tym Kaspersky Lab, McAfee, ESET, Symantec i inne.

W rzeczywistości załącznik stanowił szkodliwy program wykrywany przez Kaspersky Lab jako Trojan-Spy.Win32.Zbot.qsjm. Trojan ten należy do niesławnej rodziny ZeuS/Zbot, a jego celem jest kradzież poufnych danych użytkownika, w szczególności informacji finansowych. Szkodnik ten potrafi modyfikować zawartość stron banków ładowanych w przeglądarce poprzez osadzanie szkodliwych skryptów w celu uzyskania danych autoryzacyjnych (loginów, haseł oraz kodów bezpieczeństwa). Trojan kradnie również dane osobowe wykonując zrzuty ekranu, rejestrując uderzenia klawiszy itd. Nietypowo, Trojan-Spy.Win32.Zbot.qsjm wykorzystuje protokół P2P i zamiast łączyć się z serwerem kontroli (C&C) otrzymuje polecenia oraz plik konfiguracyjny z innych zainfekowanych maszyn.

Ta sama sztuczka została wykorzystana w innej wysyłce: użytkownik otrzymał fałszywy e-mail imitujący wiadomość od działu wsparcia producenta antywirusowego zawierającą wyniki skanowania znajdującego się w pliku załącznika.

Załącznik był rzekomo plikiem, który mógł zostać wykorzystany do usunięcia szkodliwego programu z systemu. W rzeczywistości był to robak pocztowy wykrywany przez Kaspersky Lab jako Email-Worm.Win32.NetSky.q. Celem tego robaka jest gromadzenie adresów e-mail z list kontaktów użytkowników.

Globalne wydarzenia wykorzystywane w spamie

W 2013 r. spamerzy aktywnie wykorzystywali w swoich masowych wysyłkach głośne wydarzenia na świecie. Przeważająca większość takich e-maili była fałszywa lub miała szkodliwy charakter.

Na przykład, wiadomość o śmierci prezydenta Wenezueli Hugo Chaveza była wykorzystywana zarówno w oszukańczych jak i szkodliwych e-mailach. Zwykle jednak różne kategorie spamerów koncentrują się na różnych typach wiadomości. Na przykład, „listy nigeryjskie” żerują zazwyczaj na wydarzeniach, jakie miały miejsce w Azji i na Bliskim Wschodzie, podczas gdy newsy europejskie i amerykańskie najczęściej wykorzystywane są w e-mailach zawierających szkodliwe odsyłacze. Oszukańcze e-maile są tworzone w różnych językach (często jednak są tłumaczone z pomocą serwisów oferujących tłumaczenie maszynowe), podczas gdy szkodliwy spam niemal zawsze jest pisany w języku angielskim.