Security Week 08: спам в 2020 году

Security Week 08: спам в 2020 году
На прошлой неделе аналитики «Лаборатории Касперского» выпустили итоговый отчет по спаму и фишингу за 2020 год. В нем приводятся как абсолютные цифры по срабатыванию систем защиты от фишинга и детектированию вредоносных вложений, так и описание новых методов киберпреступников. Интерес представляет мутация традиционного «нигерийского спама». В ответ на пандемию в сообщениях о якобы смерти богатого родственника и миллионном наследстве появились отсылки к COVID-19. Но не только: судя по всему, на этот длящийся десятилетиями скам почти никто не реагирует, и появляются более сложные методы.

0b4678ed2f997ad6c1a10b39f5032857.png

Вместо прямого предложения поучаствовать в дележке несуществующих богатств жертва получает просьбу отправить открытку маленькой девочке. Мошенничество происходит где-то глубоко в процессе переписки: такое ощущение, что спамеры узнали, что такое воронка продаж. Специалисты также отмечают диверсификацию вредоносных действий, ориентир на мобильных пользователей и мессенджеры. В одном случае мошенники предлагают не только поучаствовать в розыгрыше ценных призов, но и сообщить о псевдолотерее друзьям и знакомым. В другом для получения «коронавирусной компенсации» требуют установить вредоносное приложение на смартфон. Как обычно, наиболее продвинутое мошенничество замечено в потенциально более прибыльных атаках на корпоративную инфраструктуру.

99bcef3b9bd871aff67491f6ca43b253.png


Спамеры делают все возможное, чтобы создать правдоподобные копии реальной облачной инфраструктуры, начиная с подделок под веб-интерфейс корпоративной почты и заканчивая сервисами по передаче файлов, как на скриншоте выше. Среди других похожих на нормальные каналы в отчете приводятся голосовые сообщения, инвайты на встречу в Zoom и других сервисах телеконференций, уведомления от IT-отдела, симуляции автоответов с вредоносными вложениями. Наконец, есть пример креативной атаки на владельцев веб-сайтов: через форму обратной связи им приходит письмо с обвинением в краже рисунка или фотографии и ссылками-доказательствами (естественно, вредоносными). Высший пилотаж: мошенничество без вредоносных ссылок, когда пользователя просят позвонить в «техподдержку».

Если коротко, в прошлом году обычная спам-вакханалия получила оттенок COVID-истерии. Самое интересное, что это произошло на фоне снижения доли спама в общем почтовом трафике: в 2020-м она составила 50,37%, что на 6,14 процентных пункта ниже, чем в 2019 году. Скорее всего, это не спамеры стали хуже работать, а количество легитимных писем увеличилось в связи с массовым переходом на удаленную работу.

Произошли некоторые изменения в спам-географии: чаще всего мусорные письма отправляли в прошлом году из России (21,27% всех нежелательных сообщений), на втором месте оказалась Германия. В прошлом году лидерами по отправке спама были серверы, расположенные в США и Китае. Тройка лидеров — получателей спама: Испания, Германия и Россия.

Фишинговые ссылки были заблокированы у 13,21% пользователей продуктов «Лаборатории Касперского». Это среднее значение по миру, но в некоторых странах доля срабатываний выше: например, в Бразилии фишинг не дошел до 20% пользователей. В целом авторы отчета отмечают рост количества таргетированных атак через электронную почту, ориентированных на компании. Мы, получатели спама, представляем большую ценность, когда работаем, а не когда сидим дома. Правда, в 2020 году эти два состояния почти не отличались друг от друга.

Что еще произошло

Компания Microsoft принудительно удаляет Adobe Flash с компьютеров пользователей с помощью обновления Windows 10.

27099101b0d81b8aff0ccb7d9517a80f.png

Патч для браузера Brave закрывает серьезную дыру в приватности: оказывается, до этого все запросы к доменам .onion через встроенный Tor-браузер утекали к провайдеру DNS-серверов.

Обнаружен первый (а затем и второй ) образец вредоносного ПО для компьютеров Apple на базе процессора M1.

Инфраструктуру сервиса Letsencrypt серьезно переработали . Теперь она позволяет перевыпустить все сертификаты в течение суток. Это сделано на случай необходимости отзыва сертификатов из-за программных ошибок.

Аналитики Microsoft выпустили отчет об атаке SolarWinds на инфраструктуру компании. По их данным, организаторы смогли получить доступ к исходным кодам некоторых решений (в частности, Azure и Exchange). Доказательств, что инфраструктуру Microsoft использовали для атаки на клиентов, не обнаружилось.
спам
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!