Spam w III 2012 r.

Przeczytaj także: Spam w II 2012 r.

Spam na świeczniku

Rozbicie botnetu Hlux/Kelihos znalazło natychmiastowe odbicie w odsetku wiadomości spamowych

W marcu udział spamu w ruchu pocztowym zmniejszył się o 3,5 proc. Jest to dość imponujący wynik, zważywszy na to, że mówimy tu o wartościach względnych. W wartościach absolutnych oznacza to, że ilość spamu zmniejszyła się o 20% w porównaniu z poprzednim miesiącem.

Uważamy, że wynik ten spowodowany był rozbiciem nowej wersji botnetu Hlux/Kelihos. W tygodniu, w którym ruszyła kampania antybotnetowa (19-25 marca), odnotowano najniższy współczynnik dystrybucji spamu w całym miesiącu – 73,4%. Gdy w ostatnim tygodniu miesiąca kampania zakończyła się sukcesem, udział spamu zwiększył się do 74,1% - prawdopodobnie spowodowane to było podjętą przez spamerów operacją przemieszczania swoich zasobów.

Nowe sztuczki cyberprzestępców

W ostatnich latach spamerzy rozsyłający szkodliwe załączniki lub odsyłacze do szkodliwego kodu regularnie zmieniają stosowane taktyki. Spamerzy mają nadzieję, że uda im się nakłonić użytkowników, aby otworzyli załączniki lub kliknęli odsyłacze, w przeciwnym razie nie zarobią pieniędzy. To z tego powodu zainfekowany spam zawsze podszywa się pod nieszkodliwe wiadomości e-mail. Działa tu następujące prawo: im częściej stosowana jest ta sama maska, tym większa szansa, że użytkownicy dostrzegą oszustwo i pozbawią oszustów możliwości zysku.

Po wymyśleniu nowej sztuczki spamerzy często przeprowadzają szybkie, trwające kilka dni, masowe wysyłki, próbując „złapać” możliwie jak najwięcej ofiar, zanim użytkownicy się zorientują. Zazwyczaj spamerzy żerują na ludzkiej ciekawości, rozsyłając wiadomości e-mail, które wydają się pochodzić z legalnych stron.

Na przykład, w masowej wysyłce, która miała miejsce w dniach 20-23 marca, wiadomość imitowała potwierdzenie z systemu rezerwacji biletów lotniczych online.

Wykorzystywanie biletów lotniczych w szkodliwych e-mailach nie jest żadną nowością. Wcześniej spamerzy załączali skompresowany ZIP-em szkodliwy program do e-maili, w których powiadamiali odbiorcę, że płatność została dokonana. Jednak tym razem e-maile nie zawierały żadnych załączników. Zamiast tego, użytkownik był namawiany do odbycia procesu odprawy online poprzez kliknięcie odsyłacza w wiadomości e-mail.

W rzeczywistości kliknięcie odsyłacza powodowało zainstalowanie szkodliwego programu na komputerze użytkownika, który z kolei pobierał naszego starego znajomego - trojana ZeuS/Zbot. Informacje techniczne można przeczytać tutaj.

Atak zakończył się około godz. 21 czasu moskiewskiego 23 marca. Warto dodać, że wszystkie e-maile w tej oszukańczej wysyłce z 20-23 marca zachęcały użytkowników do zgłoszenia się do odprawy na samolot wylatujący 20 marca. Fakt ten po raz kolejny pokazuje, że jeżeli chodzi o bezpieczeństwo komputerowe, czujność użytkownika stanowi pierwszą linię obrony.