Для обмана спам-фильтров спамеры начали использовать редкие языки

7 Ноября, 2013 12:25
В третьем квартале 2013 года «Лаборатория Касперского» отметила снижение общего уровня спама в почтовом трафике на 2,4%. Однако итоговый показатель в 68,3% всего лишь на 0,3% ниже, чем среднее значение за первое полугодие, поэтому говорить о тенденции стабильного уменьшения доли спама в почте пока не приходится. Кроме того, за период с июля по сентябрь в 3 раза увеличилась доля фишинговых писем, а также заметно вырос уровень сообщений с вредоносными вложениями – до 3,9%, что в полтора раза больше по сравнению с предыдущим периодом.

Как заметили аналитики «Лаборатории Касперского», наиболее креативными в третьем квартале 2013 года оказались спамеры, продвигающие, пожалуй, самый известный товар из спамерской рекламы – средства для повышения потенции. В письмах подобной тематики использовались как трюки для обхода фильтров, так и приемы социальной инженерии.

К примеру, в одной из рассылок спамеры предприняли следующую хитрость: в заголовке письма они указывали слово, которое выглядело похожим на Viagra, вот только составлено это слово было из самых разных символов, использующихся, в том числе, в очень редких и даже мертвых языках. Сочетая сотни разных знаков, цепляющее глаз слово можно записать сотнями миллионов способов – и каждый из этих наборов символов не вызовет подозрений у спам-фильтров, а получатель легко узнает рекламируемый таким образом товар.

Обнаруженные «Лабораторией Касперского» вредоносные письма в третьем квартале 2013 года в основном имитировали рассылки с новостных ресурсов, благо поводов для этого было много: и рождение ребенка у королевской четы Великобритании, и охота ФБР за Эдвардом Сноуденом, и авария на железной дороге в Испании. Ссылки во всех таких письмах предсказуемо вели на взломанные сайты, которые перенаправляли пользователя на страницу с одним из самых популярных наборов эксплойтов – Blackhole. В случае обнаружения уязвимости этот эксплойт загружал на компьютер пользователя сразу несколько вредоносных программ, включая троянцев-шпионов, ворующих персональные данные пользователя.

В то же время лидером рейтинга наиболее распространенных в почтовом трафике вредоносных программ в третьем квартале с большим отрывом стал троянец Spy.HTML.Fraud.gen, который представляет собой HTML-страницу, имитирующую регистрационную форму сервиса онлайн-банкинга. С помощью этого зловреда мошенники крадут финансовую информацию пользователей.

Третий квартал 2013 года стал рекордным по количеству коротких спам-писем – их доля достигла 80% в общем почтовом трафике. На протяжении всего года эксперты «Лаборатории Касперского» отмечали, что с каждым кварталом писем размером не более одного килобайта становится все больше. И третий квартал подтвердил эту динамику. Сегодня большинство спам-писем практически не содержит текста, спамеры размещают только ссылку, которая, как правило, ведет на сайт-редиректор или на сервис коротких ссылок. Такие письма, с одной стороны, усложняют работу спам-фильтрам, а с другой, из-за малого размера могут быть очень быстро разосланы в огромных количествах.

Что касается фишинга, то в течение июля, августа и сентября 2013 года злоумышленники традиционно чаще всего подделывали уведомления различных социальных сетей. Помимо этого, в центр их внимания попали почтовые и поисковые сервисы. Суммарно на эти три категории приходится более 60% всех фишерских атак из TOP-100 атакуемых организаций. Эта внушительная цифра подтверждает, что монетизация фишинга во многом происходит за счет продажи украденных аккаунтов, которые, в свою очередь, могут быть использованы для рассылки спама по контакт-листу.

Комментарии: