Αναρτήθηκε στο ίντερνετ η μηνιαία έκθεση State of Spam & Phishing από την Symantec για τον Απρίλιο του 2011. Οι spammers και οι phishers όπως αναμενόταν εκμεταλλεύονται το σεισμό της Ιαπωνίας. Δείτε τα σημαντικότερα σημεία της έκθεσης αλλά και ολόκληρη την έκθεση όσοι ενδιαφέρεστε περισσότερο!
Ολόκληρη η έκθεση της Symantec βρίσκεται εδώ (αρχείο PDF)!
Τα σημαντικότερα σημεία
- H εξάρθρωση του Rustock είχε μεγάλο αντίκτυπο στον όγκο των μηνυμάτων spam σε παγκόσμιο επίπεδο. Ύστερα από την αύξηση που παρουσίασε σε ποσοστό 8,7% τον περασμένο μήνα, ο ημερήσιος όγκος των μηνυμάτων spam κατά μέσο όρο παρουσίασε πτώση σε ποσοστό 27,43% τον μήνα Μάρτιο.
- Αυτή η πτώση του συνολικού όγκου συνδυάστηκε με το συνολικό ποσοστό των μηνυμάτων spam. Εντωμεταξύ, οι spammers συνέχισαν να εκμεταλλεύονται τον σεισμό της Ιαπωνίας για την αποστολή μηνυμάτων spam, scam, malware, και επιθέσεων phishing.
- Συνολικά, ο αριθμός των μηνυμάτων spam έφτασε το ποσοστό 74,68% των συνολικών μηνυμάτων τον μήνα Μάρτιο, συγκριτικά με το ποσοστό 80,65% που είχε σημειωθεί κατά τον μήνα Φεβρουάριο.
- Παρατηρήθηκε μείωση σε ποσοστό 22,71% στο συνολικό τοπίο του phishing αυτό τον μήνα. Μείωση παρατηρήθηκε και στον αριθμό των αυτοματοποιημένων toolkit και των unique domains συγκριτικά με τον προηγούμενο μήνα.
- Παρατηρήθηκε μείωση σε ποσοστό 41,54% των phishing websites που δημιουργήθηκαν από αυτοματοποιημένα toolkits.
- Ο αριθμός των unique URLs μειώθηκε σε ποσοστό έως και 14,02% και ο αριθμός των phishing websites με IP domains (π.χ. για domains όπως http://255.255.255.255) μειώθηκε σε ποσοστό περίπου 30,94%.
Rustock
- Όπως παρατήρησε η Symantec σε ένα προηγούμενο blog, ο παγκόσμιος όγκος των μηνυμάτων spam παρουσίασε σημαντική πτώση στις 16 Μαρτίου 2011 εξαιτίας της εξάρθρωσης του Rustock, ενέργεια που καθοδηγήθηκε από την κυβέρνηση σε συνεργασία με την Microsoft.
- Ο παγκόσμιος όγκος των μηνυμάτων spam παρουσίασε πτώση σε ποσοστό 24,7% στις 16 Μαρτίου συγκριτικά με την προηγούμενη μέρα. Στις 17 Μαρτίου, ο όγκος τους παρουσίασε περαιτέρω μείωση σε ποσοστό 11,9%.
- Από τότε, ο όγκος των μηνυμάτων spam παρέμεινε χαμηλός.
- Ο ημερήσιος όγκος των μηνυμάτων spam κατά μέσο όρο παρουσίασε αύξηση σε ποσοστό 8,7% τον μήνα Φεβρουάριο από μήνα σε μήνα.
- Όταν το Rustock τέθηκε προσωρινά σε αδράνεια τον περασμένο χρόνο, το ποσοστό των μηνυμάτων spam που περιείχαν URLs με κατάληξη .ru TLD παρουσίασε πτώση, ωστόσο, όταν η δραστηριότητα του botnet επανήλθε, ο όγκος των μηνυμάτων spam που περιείχαν URLs με κατάληξη .ru TLD αυξήθηκε.
- Στις 16 Μαρτίου, το ποσοστό παρουσίασε ξανά κατακόρυφη πτώση.
- Η Symantec παρατήρησε επίσης μια αύξηση των μηνυμάτων spam που περιείχαν επισυναπτόμενα αρχεία σε μορφή zip ως το τέλος του Μαρτίου 2011.
- Όλα τα δείγματα που παρατηρήθηκαν είχαν πλαστογραφηθεί ώστε να φαίνονται ως νόμιμα delivery warnings ή ειδοποιήσεις από εταιρείες delivery service.
Οι spammers εκμεταλλεύονται τον σεισμό της Ιαπωνίας
- Σε προηγούμενες φυσικές καταστροφές όπως το tsunami στην Νοτιοανατολική Ασία και τον σεισμό στη Χιλή, οι spammers χρησιμοποίησαν αυτά τα τραγικά συμβάντα προς όφελός τους στέλνοντας malware, spam, scam, καθώς και για επιθέσεις phishing.
- Εξαπατούν τους χρήστες με μια εικόνα που περιέχει ένα link το οποίο οδηγεί σε malware.
- Αφού ανοίξει το link, ζητείται στο χρήστη να κάνει download και να εγκαταστήσει ένα εκτελέσιμο αρχείο το οποίο είναι malware, που σχετίζεται με ένα Trojan τραπεζικών συναλλαγών στη Βραζιλία.
- Το link για την εικόνα hxxp://xxx.<removed>trade.com/globo.com.html ωθεί τον χρήστη να κάνει download το malware payload από το επιτιθέμενο μηχάνημα.
- Αφού εγκατασταθεί επιτυχώς, το malware συλλέγει τα αναγνωριστικά στοιχεία των online τραπεζικών συναλλαγών του χρήστη, καθώς και άλλα ευαίσθητα δεδομένα.
- Οι scammers εκμεταλλεύτηκαν επίσης τις προσπάθειες αρωγής στέλνοντας 419 scam emails που ήταν τα επικρατέστερα από τότε που συνέβη η φυσική καταστροφή.
- Σε άλλη παραλλαγή του νιγηριανού scam που παρατηρήθηκε πρόσφατα, το ψεύτικο μήνυμα παρακινεί τα άτομα να βοηθήσουν τους επιζώντες του σεισμού και του τσουνάμι, ενώ η χώρα αντιμετωπίζει μια πυρηνική κρίση.
Οι phishers δεν δείχνουν έλεος για την Ιαπωνία
- Τον Μάρτιο του 2011, η Ιαπωνία αντιμετώπισε τον χειρότερο εφιάλτη όταν χτύπησε ένας μαζικός σεισμός μεγέθους 9,0. Τα έθνη σε όλο τον κόσμο προσφέρουν υποστήριξη βοηθώντας την Ιαπωνία. Από την άλλη, οι phishers προσπαθούν να εκμεταλλευτούν αυτή την κατάσταση για να κλέψουν και να εξαπατήσουν τους πιο μεγάλους χορηγούς. Παρατηρήθηκε ότι τα phishing sites ζητούσαν έναν τριψήφιο ασφαλή αριθμό.
- Η Symantec παρακολούθησε ένα phishing site που πλαστογράφησε ένα δημοφιλές gateway πληρωμών ζητώντας μια δωρεά για τα θύματα του σεισμού της Ιαπωνίας.
- Στην πάνω αριστερά γωνία της σελίδας, οι phishers χρησιμοποίησαν το λογότυπο του Αμερικανικού Ερυθρού Σταυρού.
- Υπήρχαν δύο επιλογές πληρωμών που απαιτείται να επιλέξουν οι χρήστες.
- Η πρώτη επιλογή αφορούσε τους πελάτες της εταιρείας, παρακινώντας τους να πληρώσουν από τον λογαριασμό τους με την εταιρεία. Η δεύτερη επιλογή ήταν να παρέχουν τα στοιχεία της πιστωτικής ή της χρεωστικής τους κάρτας.
- Τα στοιχεία της κάρτας που ζητούνταν περιλάμβαναν τον τύπο της κάρτας, το user name, την ημερομηνία γέννησης, τον αριθμό κοινωνικής ασφάλισης και την διεύθυνση email. Αφού εισάγονταν τα απαιτούμενα στοιχεία, το phishing site εμφάνιζε ένα μήνυμα «ευχαριστώ». Το phishing site φιλοξενούσαν servers με έδρα τις ΗΠΑ.
Ψεύτικες δωρεές για τα θύματα του σεισμού της Ν. Ζηλανδίας
- Στις 22 Φεβρουαρίου 2011, ένας μαζικός σεισμός μεγέθους 6,3 κατέστρεψε την πόλη Christchurch της Ν. Ζηλανδίας.
- Ως εκ τούτου, χιλιάδες άτομα στη Ν. Ζηλανδία έχασαν τα σπίτια τους. Παρατηρήθηκε ότι οι fraudsters, ως συνήθως, εκμεταλλεύτηκαν την συγκυρία για την αποστολή spam mails που ζητούσαν δωρεές.
- Τον μήνα Ιανουάριο, οι phishers είχαν χρησιμοποιήσει το ίδιο τέχνασμα ζητώντας ψεύτικες δωρεές για τα θύματα των πλημμύρων της Serrana.
- Το phishing site πλαστογράφησε το website του Ερυθρού Σταυρού της Ν. Ζηλανδίας και ζήτησε βοήθεια από τους τελικούς χρήστες.
- Για την πραγματοποίηση της δωρεάς, οι χρήστες έπρεπε να εισάγουν συγκεκριμένες εμπιστευτικές πληροφορίες. Το πρώτο πεδίο αποτελούνταν από ένα drop down μενού από το οποίο ο χρήστης έπρεπε να επιλέξει τον σκοπό για τον οποίο θα γινόταν η δωρεά. Οι σκοποί περιλάμβαναν τον σεισμό της Ν. Ζηλανδίας το 2011, την Ετήσια Έκκληση του 2011, την Δωρεά για τις Πλημμύρες στην Αυστραλία, το Landmine Appeal, την Δωρεά για το Disaster Preparedness του Ειρηνικού και την Έκκληση για Γενική Δωρεά.
- Οι εμπιστευτικές πληροφορίες που απαιτούνταν ήταν διεύθυνση email, ταχυδρομική διεύθυνση, αριθμός πιστωτικής κάρτας, τριψήφιος αριθμός ασφαλείας, ημερομηνία λήξης της κάρτας, τετραψήφιος κωδικός PIN, αριθμός άδειας οδήγησης και ημερομηνία γέννησης.
- Μόλις εισάγονταν οι απαιτούμενες πληροφορίες, η ιστοσελίδα ανακατεύθυνε τα θύματα στο νόμιμο website του Ερυθρού Σταυρού. Το phishing site φιλοξενούσαν servers με έδρα την Βιέννη της Αυστρίας.