Security Week 45: эволюция спама в картинках

Security Week 45: эволюция спама в картинках
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали очередной квартальный отчет об эволюции спама и фишинга. В отчете приведена статистика за третий квартал этого года, а также ряд интересных примеров мошеннического спама. Большинство из нас такие письма увидит, только если зайдет в папку со спамом в почтовом сервисе, но кому-то по профессии приходится разбираться, что у нас хотят украсть и как.

b0c56b94a14896784e227e2a5298a27a.png

Статистика в отчете приводится следующая. Доля спама в объеме почтового трафика уже довольно давно колеблется в районе 50% с тенденцией к медленному снижению (конкретно в третьем квартале — 45,47%). Зато растет (в абсолютных цифрах) количество вредоносных вложений (их относительная доля все же невелика — большинство почтовых сервисов блокирует такие прямолинейные атаки). Чаще всего в почте встречаются вредоносные программы семейств Agensla (кража данных) и Badun (распространяются в виде вредоносных офисных документов). С точки зрения «контента» в спаме авторы отчета выделили атаки по мотивам прошедших летом крупных спортивных мероприятий.

21d894772059eacc028d6fc55ea77d52.png

В июле-августе мошенники эксплуатировали Еврокубок по футболу, Олимпийские игры в Японии, соревнования «Формулы 1». В зависимости от фантазии киберпреступников пользователям предлагали либо несуществующие билеты на соревнования, либо просмотр трансляции, или же тематические игры со скидками. Во всех случаях жертвы теряли деньги — или оплачивая «покупку», или передавая мошенникам полные данные кредитной карты. Аналогичную привязку к реальному событию использовали text-only «нигерийские мошенники», у которых все по старинке: напишите нам, мы скажем, куда присылать деньги:

7dea36dd9884156bb8e697f2894bb38c.png


В отчете приводится много примеров мошенничества с использованием известных брендов, например распродажи и лотерея в крупных розничных сетях. Продолжает эволюционировать «ковидный» спам, конкретно — появились сайты по продаже поддельных сертификатов о прививке. Из нетривиального: англоязычный спам, в котором пользователю сообщают, что с его карты совершена покупка или что сделан заказ в интернет-магазине. «Разбираться» предлагается по указанному в письме телефону, а уже в ходе разговора у жертвы пытаются вытащить данные кредитной карты. Наконец, были зарегистрированы фейковые приложения, якобы обеспечивающие получение выплат от государства. Часть этих приложений кибермошенникам удалось протащить в официальный магазин.

Шанс стать жертвой фишинга, по статистике «Лаборатории Касперского», составляет чуть меньше 4% — именно у такой доли пользователей срабатывало защитное решение при попытке открыть фишинговую ссылку. Более половины фишинговых страниц мимикрируют под один из трех типов легитимных веб-сайтов: крупные интернет-порталы, интернет-магазины, банки. В мобильных мессенджерах подавляющее большинство фишинговых ссылок детектируется в Whatsapp (более 90%, доля Telegram — 3,74%). В июле наблюдался значительный рост вредоносных ссылок в Whatsapp, который совпал с активным распространением вредоносной программы Trojan.AndroidOS.Whatreg.b — она регистрирует на мобильных устройствах новые аккаунты в этом мессенджере.

Наконец, авторы упоминают про еще один опасный тип фишинга — корпоративный. К типичным сообщениям типа «у вас голосовое сообщение» добавился спам о необходимости оплатить счет. Если перейти по ссылке из письма, откроется поддельная форма для ввода логина-пароля от корпоративной учетки:

2ffff3789bbd4b63c7b74311d39ce104.png

Другие квартальные отчеты «Лаборатории Касперского»: DDoS и развитие APT -атак.

Что еще произошло:

Разбор исследования Trojan Source, о котором мы писали на прошлой неделе. Автор отзыва критично относится к работе британских исследователей. Его тезисы такие: это не новая атака, во многих редакторах кода с подсветкой синтаксиса управляющие Unicode-символы видны, чинить проблему в компиляторе — не лучшая идея, достаточно просто аккуратной проверки исходников.

Для обнаруженной в сентябре в ряде чипов Bluetooth уязвимости Braktooth опубликован публичный эксплойт.

Критические уязвимости на уровне ядра обнаружены и закрыты в Mac OS и Android . Уязвимость в Android на момент обнаружения эксплуатировалась «в таргетированных атаках».
spam
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!