На прошлой неделе специалисты «Лаборатории Касперского» опубликовали очередной квартальный отчет об эволюции спама и фишинга. В отчете приведена статистика за третий квартал этого года, а также ряд интересных примеров мошеннического спама. Большинство из нас такие письма увидит, только если зайдет в папку со спамом в почтовом сервисе, но кому-то по профессии приходится разбираться, что у нас хотят украсть и как.



Статистика в отчете приводится следующая. Доля спама в объеме почтового трафика уже довольно давно колеблется в районе 50% с тенденцией к медленному снижению (конкретно в третьем квартале — 45,47%). Зато растет (в абсолютных цифрах) количество вредоносных вложений (их относительная доля все же невелика — большинство почтовых сервисов блокирует такие прямолинейные атаки). Чаще всего в почте встречаются вредоносные программы семейств Agensla (кража данных) и Badun (распространяются в виде вредоносных офисных документов). С точки зрения «контента» в спаме авторы отчета выделили атаки по мотивам прошедших летом крупных спортивных мероприятий.



В июле-августе мошенники эксплуатировали Еврокубок по футболу, Олимпийские игры в Японии, соревнования «Формулы 1». В зависимости от фантазии киберпреступников пользователям предлагали либо несуществующие билеты на соревнования, либо просмотр трансляции, или же тематические игры со скидками. Во всех случаях жертвы теряли деньги — или оплачивая «покупку», или передавая мошенникам полные данные кредитной карты. Аналогичную привязку к реальному событию использовали text-only «нигерийские мошенники», у которых все по старинке: напишите нам, мы скажем, куда присылать деньги:



В отчете приводится много примеров мошенничества с использованием известных брендов, например распродажи и лотерея в крупных розничных сетях. Продолжает эволюционировать «ковидный» спам, конкретно — появились сайты по продаже поддельных сертификатов о прививке. Из нетривиального: англоязычный спам, в котором пользователю сообщают, что с его карты совершена покупка или что сделан заказ в интернет-магазине. «Разбираться» предлагается по указанному в письме телефону, а уже в ходе разговора у жертвы пытаются вытащить данные кредитной карты. Наконец, были зарегистрированы фейковые приложения, якобы обеспечивающие получение выплат от государства. Часть этих приложений кибермошенникам удалось протащить в официальный магазин.

Шанс стать жертвой фишинга, по статистике «Лаборатории Касперского», составляет чуть меньше 4% — именно у такой доли пользователей срабатывало защитное решение при попытке открыть фишинговую ссылку. Более половины фишинговых страниц мимикрируют под один из трех типов легитимных веб-сайтов: крупные интернет-порталы, интернет-магазины, банки. В мобильных мессенджерах подавляющее большинство фишинговых ссылок детектируется в Whatsapp (более 90%, доля Telegram — 3,74%). В июле наблюдался значительный рост вредоносных ссылок в Whatsapp, который совпал с активным распространением вредоносной программы Trojan.AndroidOS.Whatreg.b — она регистрирует на мобильных устройствах новые аккаунты в этом мессенджере.

Наконец, авторы упоминают про еще один опасный тип фишинга — корпоративный. К типичным сообщениям типа «у вас голосовое сообщение» добавился спам о необходимости оплатить счет. Если перейти по ссылке из письма, откроется поддельная форма для ввода логина-пароля от корпоративной учетки:



Другие квартальные отчеты «Лаборатории Касперского»: DDoS и развитие APT-атак.

Что еще произошло:

Разбор исследования Trojan Source, о котором мы писали на прошлой неделе. Автор отзыва критично относится к работе британских исследователей. Его тезисы такие: это не новая атака, во многих редакторах кода с подсветкой синтаксиса управляющие Unicode-символы видны, чинить проблему в компиляторе — не лучшая идея, достаточно просто аккуратной проверки исходников.

Для обнаруженной в сентябре в ряде чипов Bluetooth уязвимости Braktooth опубликован публичный эксплойт.

Критические уязвимости на уровне ядра обнаружены и закрыты в Mac OS и Android. Уязвимость в Android на момент обнаружения эксплуатировалась «в таргетированных атаках».

Комментарии (3)


  1. achekalin
    08.11.2021 20:20

    У касперского есть антиспам для линуксового почтового сервера, так вот он не обновлялся не просто несколько месяцев, а - несколько лет, причем часть его поставляется в версии для i386 only.

    Вопрос, раз уж каспер про спам начал писать: когда совесть заставит хотя бы пакеты под 64 бита пересобрать, и когда заставит и продукт обновить, раз уж деньги берутся за подписку на него (точнее, на его обновления), а не разово?


    1. Kaspersky_Lab Автор
      08.11.2021 20:53

      Здравствуйте. Kaspersky Anti-Spam for Linux действительно устарел и некоторое время назад был закрыт. Обратитесь пожалуйста к партнеру, через которого вы приобретали лицензию. Он должен предложить вариант миграции на современные продукты решающие ту же задачу.


      1. achekalin
        09.11.2021 23:16

        Я про https://www.kaspersky.ru/small-to-medium-business-security/linux-mail-server — совершенно спокойно продаваемое решение, в котором имеется антиспам. И вот к этому антиспаму (собственно, это же еще ашмановкие разработки?), где файлики klms_8.0.3-30_i386.deb (да, вот этот i386) и klmsui_8.0.3-30_amd64.deb датируются 2018 годом, и есть вопросы по "свежести".


        Или сайт не обновили, и ссылка выше не должна быть там?


        А что из свежего антиспама у вас есть сейчас, чему точно можно верить?