Spam w II kwartale 2011 r.: Nowe reguły gry dla spamerów

Kaspersky Lab informuje o opublikowaniu raportu spamowego dla drugiego kwartału 2011 roku. Cyberprzestępcy stopniowo przywracają możliwości operacyjne botnetów zamkniętych w zeszłym i na początku bieżącego roku. Świadczy o tym poziom udziału spamu w ruchu pocztowym, który w drugim kwartale wynosił  82,5% i był o 3,9 proc. wyższy niż w pierwszym kwartale. Jednak w związku z likwidacją istotnych zasobów spamerzy muszą działać według nowych reguł.

W drugim kwartale wzrosła liczba botnetów, czyli sieci zainfekowanych komputerów, jednak ich rozmiary są stosunkowo niewielkie i żaden z nich nie ma tak dużego udziału w ruchu spamowym jak wcześniej Cutwail czy Rustock. Spamerzy wciąż nie zwiększyli możliwości botnetów, tak aby mogły wysyłać miliony wiadomości spamowych dziennie, lub celowo nie chcą stawiać wszystkiego na jedną kartę (jeden duży botnet).

Zmiany te przyczyniły się do bardziej równomiernego rozłożenia źródeł spamu. Wcześniej trzy państwa regularnie odpowiadały za połowę całego spamu. Teraz maszyny zombie wykorzystywane do rozprzestrzeniania niechcianych wiadomości są zlokalizowane w praktycznie każdym państwie na świecie. Sygnalizuje to koniec ekspansji geograficznej spamerów – nie ma już obszarów, które byłyby nietknięte działalnością tych cyberprzestępców.       

Źródła spamu

W drugim kwartale 2011 r. spam był wysyłany najaktywniej z krajów rozwijających się: Indie (+4,26 proc.), Brazylia (+3,14 proc.) oraz Indonezja (+1,66 proc.).

Polska znalazła się na 11 miejscu z wynikiem 2,5 proc, notując spadek o 0,5% w porównaniu z pierwszym kwartałem 2011 r. 

Udział Indii w całkowitej ilości spamu zwiększył się w drugim kwartale o prawie pięć punktów procentowych w porównaniu z poprzednim kwartałem i wynosił 14,06%. Przyczyną tego wzrostu jest obecność milionów niechronionych, niezałatanych maszyn, które mogą pozostać aktywne w sieciach zombie przez długi czas i sprawiają, że Indie stanowią idealny kraj do działania spamerów. 

Największe źródła spamu w drugim kwartale 2011 r.

– Kraje rozwijające się są bardzo atrakcyjne dla spamerów z powodu braku skutecznej legislacji antyspamowej oraz niskiego poziomu bezpieczeństwa IT, natomiast kraje rozwinięte stanowią łakomy kąsek ze względu na szybki, powszechnie dostępny Internet – wyjaśnia Daria Gudkowa, szefowa działu analiz i badań zawartości z Kaspersky Lab. – Dlatego nie powinno dziwić to, że Stany Zjednoczone pozostają bardzo atrakcyjnym przyczółkiem dla cyberprzestępców tworzących botnety. Wprawdzie po kampanii antybotnetowej przeprowadzonej przez organy ścigania jesienią 2010 r. państwo to wypadło z grupy największych spamerów, jednak w miejsce zamkniętych botnetów cyberprzestępcy niemal od razu zaczęli tworzyć nowe.  

Potwierdzają to zmiany w rankingu 10 najbardziej rozpowszechnionych szkodliwych programów wykrywanych przez rozwiązania firmy Kaspersky Lab w Stanach Zjednoczonych. W lutym większość szkodników wysyłanych do tego kraju stanowiły szkodliwe programy służące do kradzieży danych finansowych użytkowników (trojany bankowe) lub wyłudzania od nich pieniędzy (np. fałszywe szkodliwe programy antywirusowe). Jednak w marcu i w kwietniu ponad połowa programów z pierwszej dziesiątki należała do kategorii trojanów downloaderów, które instalowały szkodliwe oprogramowanie na komputerach użytkowników w celu dołączenia zainfekowanej maszyny do botnetu. 
 
Odsetek szkodliwego oprogramowania wykrywanego w poczcie e-mail w drugim kwartale 2011 r według państw

Najnowsze trendy

W II kwartale 2011 r. spamerzy zaczęli wykorzystywać technologie chmury, a tym samym nastąpił nowy etap w ewolucji spamu. Niektóre wiadomości e-mail zawierały odsyłacze do serwisów Google’a, które przekierowywały użytkowników do stron z reklamami lub witryn phishingowych. Użytkownicy mają większe zaufanie do takich stron, ponieważ są zlokalizowane w popularnych zasobach (np. Google Dokumenty lub Google Arkusze kalkulacyjne), a połączenie z nimi jest wykonywane za pośrednictwem protokołu HTTPS, który obsługuje szyfrowanie.  

Dystrybucja spamu utraciła swój globalny charakter, ponieważ spamerzy są zmuszeni coraz efektywniej wykorzystywać mniejsze sieci zainfekowanych komputerów. To oznacza, że cyberprzestępcy muszą ostrożniej wybierać odbiorców swojego spamu oraz przeprowadzać ataki ukierunkowane, do których potrzebne są informacje takie jak nazwisko ofiary, a nawet nazwa firmy, dla której pracuje lub z którą zawiera transakcje. Posiadając takie dane, przestępcy mogą łatwo zyskać zaufanie użytkowników.    

Pełny raport można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=673.

Źródło: Kaspersky Lab