Kaspersky Security Bulletin. Lo spam nell’anno 2013

Contenuti

Il 2013 in cifre

  • Nel 2013, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento del 2,5% rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 69,6%.
  • Sono stati individuati allegati nocivi nel 3,2% dei messaggi di posta elettronica; rispetto al 2012 il valore di tale significativo indice è pertanto diminuito dello 0,2%.
  • Il 32,1% degli attacchi di phishing individuati e neutralizzati nel corso dell’anno esaminato nel presente report è risultato indirizzato nei confronti degli utenti dei social network.
  • La maggior parte dei messaggi di posta elettronica indesiderati, diffusi su scala mondiale verso le e-mail box degli utenti della Rete, è risultata provenire dal territorio della Repubblica Popolare Cinese (23%).
  • Il 74,5% dei messaggi di spam ha presentato dimensioni non superiori ad 1 Kb.

Migrazione delle tradizionali pubblicità di prodotti e servizi del tutto legittimi dal mondo dello spam verso altre piattaforme di advertising.

Il processo di criminalizzazione dello spam di natura commerciale

Avevamo già riferito, lo scorso anno, in merito alla progressiva diminuzione, all’interno dei flussi di spam mondiali, del numero dei messaggi e-mail indesiderati volti a reclamizzare prodotti e servizi del tutto legittimi. Gli “inserzionisti” pubblicitari, in sostanza, preferiscono allo spam, in misura sempre maggiore, altre piattaforme di advertising, operanti nel pieno rispetto della legalità ed ampiamente diffuse in Internet. Tali risorse web, di fatto, sono in grado di generare un maggior numero di risposte da parte della potenziale clientela della Rete, peraltro con costi minori rispetto alla tradizionale réclame veicolata attraverso lo spam.

Abbiamo inoltre osservato come, attualmente, l’ordinaria pubblicità commerciale relativa ad alcune specifiche categorie merceologiche venga progressivamente rimpiazzata, all’interno dei flussi di spam globali, da mailing di massa a carattere prettamente criminale. Rappresenta un tipico esempio, in tal senso, la categoria da noi abitualmente denominata “Viaggi e vacanze”. In precedenza, i messaggi di posta elettronica indesiderati riconducibili a tale specifica categoria tematica costituivano il 5-10% dell’intero traffico globale di spam; inoltre, tali messaggi recavano effettivamente, ai destinatari delle e-mail, proposte ed offerte commerciali relative a viaggi, tour, escursioni e prenotazioni di biglietti di ogni genere. Al giorno d’oggi, tale tipologia di pubblicità commerciale si incontra piuttosto raramente nel mondo dello spam; per contro, capita di imbattersi sempre più di frequente in una moltitudine di e-mail nocive che sfruttano le più classiche tematiche inerenti al settore del turismo e delle vacanze.

I messaggi di posta contraffatti, mascherati sotto forma di notifiche e comunicazioni relative a prenotazioni alberghiere o all’acquisto di biglietti aerei, rappresentano ormai una componente abituale dello spam; la presenza di simili mailing di massa di natura nociva è stata difatti da noi rilevata all’interno del traffico di posta elettronica, lungo tutto l’arco dell’anno qui esaminato. In realtà, tali messaggi non recano in allegato alcun tipo di conferma riguardo ad eventuali prenotazioni di hotel o voli; essi celano, invece, temibili software nocivi (ed in particolar modo i programmi malware denominati Trojan-PSW.Win32.Tepfer e Backdoor.Win32.Androm.qt).

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Quest’anno, nel traffico di posta globale, ai messaggi e-mail nocivi camuffati sotto forma di notifiche relative alla conferma di prenotazioni alberghiere o aeree, si sono poi aggiunti i mailing di massa aventi per tema l’acquisto di fantomatiche crociere.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Il contenuto di questa tipologia di messaggi nocivi si è rivelato analogo a quello delle e-mail contraffatte incentrate sulle prenotazioni di hotel o di biglietti aerei: i malintenzionati sono soliti rivolgersi al potenziale destinatario del messaggio in maniera del tutto impersonale, annunciando la disponibilità della documentazione elettronica che il passeggero dovrà esibire per potersi “imbarcare”. Ovviamente, il file allegato alle e-mail in questione ospita, invece, un pericoloso programma malware.

In tal modo, mentre un paio di anni fa lo spam poteva ancora effettivamente orientare il destinatario dell’e-mail indesiderata verso l’acquisto di viaggi, biglietti aerei o di soggiorni in hotel, gli attuali messaggi di posta elettronica riconducibili a tale specifica categoria tematica, con una buona dose di probabilità, consegneranno invece all’ignaro utente non un’innocua pubblicità di viaggi, bensì un temibile programma malware.

Oltre agli spammer specializzati nella distribuzione di software nocivi nelle e-mail box degli utenti dei servizi di posta elettronica, hanno rivolto le loro losche attenzioni alle tematiche inerenti a viaggi e vacanze anche i truffatori della Rete. Nel 2013, in effetti, abbiamo individuato la propagazione di alcuni mailing di massa volti a sfruttare proprio il genere di spam dedicato ai suddetti temi; nella fattispecie i malfattori organizzavano tali campagne di spam con il preciso intento di effettuare il lavaggio di consistenti quantità di denaro sporco, ottenuto grazie a carte di credito precedentemente rubate. Più precisamente, i malintenzionati provvedevano ad inoltrare in Rete i messaggi di spam distribuiti attraverso tali mailing fraudolenti confidando nel fatto che, con ogni probabilità, alcuni di questi messaggi sarebbero giunti ad indirizzi di posta elettronica appartenenti ad hotel o a strutture alberghiere di vario genere; per conferire un maggiore aspetto di legittimità e credibilità alle e-mail in questione, i truffatori avanzavano in primo luogo, al destinatario del messaggio, una dettagliata richiesta relativa alla prenotazione di una o più camere d’albergo.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Se il personale dell’hotel avesse risposto al messaggio, gli spammer avrebbero poi chiesto, attraverso l’e-mail successiva, di prelevare una certa somma di denaro dalla carta di credito da essi indicata, nello specifico un importo notevolmente superiore al valore complessivo della prenotazione (tale richiesta, talvolta, veniva già effettuata con la prima e-mail). I truffatori avrebbero in seguito invitato l’amministrazione dell’hotel ad inviare la differenza, ovvero l’importo eccedente, all’indirizzo da essi specificato, tramite Western Union. L’inusuale richiesta veniva in genere argomentata dai malintenzionati con il fatto che tale somma di denaro sarebbe così potuta finalmente giungere al tour operator incaricato dell’organizzazione del viaggio verso la località di soggiorno prescelta. Nella circostanza, naturalmente, gli autori delle e-mail fraudolente escogitavano le spiegazioni più fantasiose per cercare di esporre in maniera plausibile il motivo per cui l’agenzia di viaggi non aveva potuto procedere direttamente al prelievo della somma in questione dalla carta di credito, mentre il “cliente”, guarda a caso, si trovava sempre impossibilitato, per una ragione o per un’altra, ad effettuare, tramite un normale bonifico bancario, il trasferimento dell’importo dovuto. Trascorso qualche tempo, ovviamente, i truffatori avrebbero annullato la “prenotazione” precedentemente eseguita presso l’hotel vittima della truffa, dopo aver ad ogni caso già ricevuto la seconda (e più consistente) parte della somma in ballo, costituita da denaro ormai “pulito”.

La “zona grigia” dello spam

Un’ulteriore problematica legata al mondo dello spam è rappresentata dal fatto che, da un lato, gli “inserzionisti” pubblicitari desiderano sempre più, da parte loro, la messa in scena di mailing di massa “ufficiali”, in grado di recapitare alla potenziale clientela della Rete messaggi e-mail elaborati in maniera estremamente accurata, privi dei consueti trucchi e “imbrattamenti” vari abitualmente adottati dagli spammer, espedienti che, spesso, rendono quasi illeggibili i messaggi di posta elettronica inoltrati verso le e-mail box degli utenti. Dall’altro lato, coloro che intendono ordinare la propaganda di estesi mailing di massa non vorrebbero di fatto limitarsi ad inviare messaggi pubblicitari solo ad una ristretta cerchia di clienti, oppure esclusivamente a coloro che sottoscrivono le tradizionali newsletter, bensì a svariati milioni di indirizzi di posta elettronica custoditi in ricchi database.

Tali circostanze producono, inevitabilmente, una costante crescita, in estensione, della cosiddetta zona “grigia” dello spam. Con tale specifica definizione si intendono quei mailing di massa elaborati in maniera ufficiale, distribuiti non attraverso le botnet, ma tramite gli stessi server di coloro che ne realizzano la diffusione in Rete; nella circostanza, i destinatari delle e-mail possono sia sottoscrivere l’invio dei messaggi in questione, sia, qualora lo desiderino, procedere alla cancellazione del proprio nominativo dalla lista dei destinatari del mailing. Ad ogni caso, oltre che a coloro che sottoscrivono l’invio dei messaggi, le e-mail “grigie” vengono comunque inviate, mediante l’utilizzo di enormi database, ad un’ampia cerchia di persone per nulla interessate a ricevere tale genere di corrispondenza sulla propria e-mail box, utenti che non hanno di certo fornito il proprio assenso all’invio di tali messaggi. Ricordiamo, a tal proposito, come in numerosi paesi del mondo la legislazione vieti l’invio di mailing di posta elettronica in assenza di un preventivo consenso da parte del destinatario del messaggio.

In pratica, la situazione sopra descritta fa sì che una parte del mailing di massa riconducibile a tale tipologia si riveli pienamente legittima, mentre la restante (e ben più consistente) porzione può essere a tutti gli effetti classificata alla stregua di spam. Ciò pone inevitabilmente un nuovo e serio problema all’industria anti-spam, conducendo, di fatto, allo sviluppo di nuove tecnologie, basate sul grado di reputazione di coloro che creano il mailing.

Una singolare tendenza del 2013: i messaggi nocivi mascherati sotto forma di e-mail provenienti da società produttrici di anti-virus

Di solito, il bersaglio prediletto dai messaggi di spam di natura nociva o fraudolenta che attualmente infestano il traffico di posta elettronica globale è rappresentato da un pubblico di utenti particolarmente ingenui, oppure da quegli utenti che, pur navigando frequentemente in Internet, sono ancora ben lungi dal possedere sufficienti conoscenze riguardo alle principali regole e tematiche di sicurezza IT. In effetti, una persona accorta e sensata difficilmente potrà credere all’autenticità di un semplice messaggio di posta elettronica in cui si annuncia in pompa magna l’insperata vincita di una cifra multimilionaria a qualche fantomatica lotteria; chi conosce le regole essenziali nel campo della sicurezza informatica, da parte sua, non si sognerà mai di cliccare sul link nocivo presente in un messaggio apparentemente proveniente da una “banca”, per poi introdurre la password relativa al proprio account bancario all’interno di qualche form fasullo creato dai phisher.

Nel corso del 2013, all’interno dei flussi e-mail, sono state da noi individuate alcune campagne di spam nocivo i cui messaggi risultavano camuffati sotto forma di notifiche ufficiali provenienti da società produttrici di antivirus; si trattava, in sostanza, di e-mail indirizzate, in tutta evidenza, ad utenti della Rete in possesso perlomeno delle nozioni di base riguardo alle tematiche di sicurezza IT.

E’ ormai noto come gli esperti di sicurezza informatica siano soliti consigliare agli utenti, in maniera spesso insistita, di effettuare sempre il regolare aggiornamento della soluzione anti-virus di cui questi ultimi dispongono; si tratta, in effetti, di una procedura estremamente importante, grazie alla quale risulta possibile assicurare, in ogni frangente, un’efficace protezione IT al proprio computer. Nell’occasione, i cybercriminali hanno volutamente cercato di sfruttare tale fattore. Così, i messaggi e-mail inviati nell’ambito delle suddette campagne di spam, a nome di varie società produttrici di anti-virus, invitavano gli utenti a procedere immediatamente all’aggiornamento del proprio sistema informatico, tramite l’apposito file allegato. Il testo presente nelle e-mail in questione risultava sempre identico, di messaggio in messaggio, mentre nel campo riservato al mittente gli spammer si “premuravano” di utilizzare, di volta in volta, alternandoli, i nominativi di quasi tutti i più noti vendor di soluzioni anti-virus, quali Kaspersky Lab, McAfee, ESET, Symantec ed altri ancora.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

In realtà, l’archivio compresso allegato al messaggio di posta elettronica conteneva un pericoloso programma malware, rilevato dalle soluzioni antivirus di Kaspersky Lab come Trojan-Spy.Win32.Zbot.qsjm. Il programma trojan in questione, riconducibile alla famigerata famiglia di malware denominata ZeuS/Zbot, è stato appositamente sviluppato dai virus writer allo scopo di carpire le informazioni confidenziali custodite nel computer sottoposto ad attacco informatico, ed in primo luogo i dati sensibili di natura finanziaria. Tale insidioso software nocivo è in grado di modificare il contenuto delle pagine web relative a siti Internet di istituti bancari, caricate dall’utente sul proprio browser, iniettando al loro interno pericolosi script nocivi, con il preciso intento di ottenere tutte le informazioni necessarie per poter eseguire, successivamente, il processo di autenticazione nel sistema di banking online preso di mira (login, password e relativi codici di sicurezza). Il programma trojan qui analizzato risulta ugualmente preposto al furto dei dati personali dell’utente-vittima; esso è in grado di realizzare, tra l’altro, screenshot e video relativi a quanto visualizzato dall’utente sul proprio schermo; oltre a ciò, il suddetto malware è in grado di intercettare le sequenze dei tasti progressivamente premuti. E’ di particolare interesse osservare come, per ricevere i comandi ed il file di configurazione, Trojan-Spy.Win32.Zbot.qsjm si rivolga non al centro di comando e controllo predisposto dai cybercriminali, bensì utilizzi il protocollo P2P, ottenendo in tal modo, attraverso altre macchine infette, le informazioni ad esso necessarie per svolgere le proprie attività nocive.

Nell’ambito di un’ulteriore campagna di spam nocivo, dai toni e dalla struttura analoghi, i malintenzionati hanno utilizzato, più o meno, la stessa metodologia e lo stesso tipo di approccio: nella circostanza, i destinatari delle e-mail hanno ricevuto un messaggio di posta fasullo, appositamente allestito dai malintenzionati per imitare una delle abituali notifiche inoltrate agli utenti da parte del servizio di supporto tecnico operante presso le società produttrici di anti-virus; tale notifica, secondo quanto sostenuto dai malfattori, conteneva il “risultato” dell’analisi eseguita su un presunto file campione precedentemente trasmesso dall’utente-vittima.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Inoltre, in allegato al messaggio si trovava un file compresso che, secondo le subdole affermazioni dei cybercriminali, sarebbe dovuto servire ad effettuare la rimozione dal sistema infetto del programma malware individuato. In realtà, l’archivio .zip in questione conteneva un insidioso worm di posta elettronica, rilevato dalle soluzioni anti-malware di Kaspersky Lab come Email-Worm.Win32.NetSky.q. La principale funzionalità di cui è provvisto tale worm consiste nel raccogliere gli indirizzi di posta elettronica presenti negli elenchi dei contatti custoditi nei computer vittima dell’attacco.

Lo spam e i recenti avvenimenti mondiali

Lungo tutto l’arco del 2013, gli spammer hanno attivamente sfruttato il naturale clamore suscitato dai principali avvenimenti che si sono via via prodotti sulla scena internazionale. La stragrande maggioranza delle campagne di spam volte ad “utilizzare” gli eventi mondiali più eclatanti si è costantemente rivelata essere di natura fraudolenta o nociva.

La notizia relativa alla morte di Hugo Chavez, presidente del Venezuela, è stata, ad esempio, ampiamente sfruttata dagli spammer sia nell’ambito dei mailing di massa ingannevoli, sia nel quadro delle campagne di spam appositamente organizzate per distribuire pericolosi software nocivi nelle e-mail box degli utenti. In genere, tuttavia, le varie categorie di spammer sembrano ognuna prediligere un certo tipo di notizie, con un preciso orientamento geografico. Nelle cosiddette e-mail “nigeriane”, ad esempio, i malintenzionati fanno più che altro riferimento ad avvenimenti che hanno avuto luogo in Asia e in Medio Oriente, mentre i messaggi di posta elettronica contenenti link nocivi risultano nella maggior parte dei casi “ispirati” ad eventi che si sono prodotti sulla scena europea o americana. Desideriamo inoltre porre in evidenza come i messaggi di spam a carattere fraudolento vengano di solito elaborati in varie lingue (anche se spesso, a dir la verità, i testi vengono evidentemente ricavati mediante l’utilizzo di un traduttore automatico) mentre le e-mail di spam di natura nociva risultino quasi sempre composte in lingua inglese.

Le e-mail “nigeriane” distribuite dagli spammer nel corso del 2013 hanno ripetutamente sfruttato le tematiche connesse sia alla destituzione del presidente egiziano Mohamed Morsi, sia alla complessa e delicata situazione socio-politica attraversata dalla Siria. Nella circostanza, i malintenzionati si sono ampiamente avvalsi dei tradizionali trucchi ed espedienti “nigeriani”, ingredienti imprescindibili di tale genere di messaggi fraudolenti, nel tentativo di raggirare i destinatari delle e-mail e sottrarre quindi a questi ultimi cospicue somme di denaro. Simili campagne di spam sono state da noi individuate all’interno del traffico di posta elettronica mondiale anche dopo la notizia della morte del leader libico Muammar Gheddafi, così come dopo il trasferimento in carcere dell’ex-presidente egiziano Hosni Mubarak. Tali messaggi e-mail risultano tutti quanti molto simili tra loro, sebbene i truffatori cerchino costantemente di inventarsi nuove e sempre più fantasiose storie. Nel corso dell’anno oggetto del presente report, all’interno dei flussi globali dello spam fraudolento collegato ai tragici eventi che si sono prodotti in Siria, sono stati ad esempio individuati numerosi messaggi e-mail provenienti, in apparenza, da soldati dell’esercito statunitense.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Per ciò che riguarda lo spam preposto a convogliare temibili allegati nocivi nelle caselle di posta elettronica degli utenti, gli avvenimenti di risonanza mondiale maggiormente utilizzati dagli spammer sono risultati essere la rapida ascesa al soglio pontificio di Papa Francesco, la nascita del “Royal Baby” – il figlio di William d’Inghilterra e Kate Middleton, rispettivamente Duca e Duchessa di Cambridge – e le sorprendenti rivelazioni dell’informatico statunitense Edward Snowden, ex-collaboratore dei servizi di intelligence USA. I messaggi e-mail nocivi vengono abitualmente mascherati sotto forma di notizie o comunicazioni provenienti, a prima vista, da famosi network dell’informazione; tali messaggi contengono spesso dei link che, secondo quanto affermato dagli autori dell’e-mail nociva, dovrebbero semplicemente condurre gli utenti verso materiale informativo di particolare interesse e rilevanza. Tuttavia, dopo aver cliccato sul link presente nel corpo del messaggio, l’utente-vittima viene abitualmente reindirizzato verso un sito web dannoso, contenente pericolosi programmi malware.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Abbiamo ad esempio osservato come numerose campagne di spam nocivo, ispirate ai temi caldi dell’attualità internazionale, contenessero, di fatto, link preposti ad indirizzare i malcapitati utenti verso siti web in cui si celava il famigerato kit di exploit denominato Blackhole. Ricordiamo, tuttavia, come dopo l’arresto, nello scorso mese di ottobre, del presunto autore dell’exploit pack Blackhole, nel mondo dello spam non siano stati più utilizzati i caratteristici modelli di e-mail elaborati in veste di notizie trasmesse da note emittenti e network dell’informazione. Con ogni probabilità, tale circostanza riveste solo carattere temporaneo; all’interno dei flussi di spam rivedremo pertanto ben presto e-mail del genere, infarcite di link preposti a condurre il destinatario del messaggio verso il download di pericolosi programmi malware.

Le statistiche

Quote di spam rilevate nel traffico di posta elettronica

Nel 2013, la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un decremento del 2,5% rispetto all’analogo indice riscontrato nell’anno precedente, attestandosi in tal modo su un valore medio pari al 69,6%. E’ di particolare interesse osservare come, per la prima volta, da molti anni a questa parte, il valore relativo alla quota media di spam rilevata all’interno dei flussi e-mail mondiali non abbia superato la “fatidica” soglia del 70%.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Quote percentuali di spam rilevate mensilmente nel traffico di posta elettronica nel corso del 2013

Osserviamo in primo luogo come, lungo tutto l’arco dell’anno oggetto del presente report (non tenendo in considerazione il valore particolarmente contenuto, ed anomalo, relativo al mese di gennaio), gli indici percentuali relativi ai messaggi e-mail “spazzatura” individuati nel traffico di posta elettronica globale non abbiano presentato, su base mensile, significative variazioni. Ciò testimonia in maniera inequivocabile il manifestarsi di una certa stabilità; è quindi lecito ritenere che, con ogni probabilità, nel corso del prossimo anno, i valori percentuali relativi alle quote di spam presenti all’interno dei flussi e-mail mondiali non possano subire sostanziali cambiamenti.

Ripartizione delle fonti di spam per paesi

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Ripartizione delle fonti di spam per paesi – Anno 2013

Così come nell’anno precedente, le posizioni di vertice della speciale graduatoria globale delle fonti di spam, relativa ai paesi dal cui territorio sono state distribuite in Rete – verso tutti e cinque i continenti – le maggiori quantità di e-mail indesiderate, risultano occupate da Cina (+ 3,5%) e Stati Uniti (+ 2%). Complessivamente, nel corso del 2013, il 40,6% del volume totale dei messaggi di posta elettronica “spazzatura” diffusi su scala mondiale è stato inoltrato verso le e-mail box degli utenti dal territorio dei due paesi citati. Le posizioni occupate da Cina ed USA all’interno della graduatoria qui sopra riportata rispecchiano fedelmente le posizioni in cui si collocano attualmente i paesi in questione nell’ambito del rating relativo alle nazioni che vantano il maggior numero di utenti Internet (come è noto, la leadership di tale classifica è detenuta dalla Repubblica Popolare Cinese, mentre gli Stati Uniti occupano la seconda piazza della stessa).

Il terzo gradino del “podio” virtuale risulta occupato dalla Corea del Sud; rispetto al 2012, l’indice percentuale relativo ai flussi di spam generati entro i confini del paese asiatico è aumentato di ben tre volte e mezzo. E’ sensibilmente cresciuta anche la quota ascrivibile a Taiwan (+ 3,7%); ciò ha comportato l’ascesa al quarto posto in classifica da parte del paese dell’Estremo Oriente insulare.

Hanno fatto registrare un significativo aumento anche le quote percentuali riconducibili a Kazakhstan, Ukraina e Bielorussia; dal territorio di tali paesi sono state distribuite ingenti quantità di messaggi di spam soprattutto nel corso del secondo trimestre del 2013:

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Dinamiche relative alla diffusione dei messaggi di spam provenienti da Ukraina, Kazakhstan e Bielorussia – Anno 2013

Continuando l’analisi della classifica in questione, osserviamo come, nel volgere di un anno, sia diminuito di ben 4 volte l’indice attribuibile al Brasile; il colosso sudamericano è così passato dalla quinta alla sedicesima posizione della graduatoria da noi elaborata. Allo stesso tempo, risulta considerevolmente aumentata la quota percentuale ascrivibile al Canada; l’esteso paese nordamericano, che non faceva parte dell’analogo rating relativo all’anno 2012, è quindi entrato a far parte della TOP-20 dedicata alla ripartizione geografica delle fonti dello spam mondiale, collocandosi alla quattordicesima posizione della graduatoria qui esaminata.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Dinamiche relative alla diffusione dei messaggi di spam provenienti da Canada e Brasile – Anno 2013

Desideriamo ricordare, nella circostanza, come in Canada non sia stato ancora approvato un apposito provvedimento legislativo preposto a contrastare il dilagare del fenomeno spam. L’idea di varare una legge anti-spam (CASL) si è tuttavia manifestata, entro i confini del paese nordamericano, sin dal 2005; secondo quanto affermato dal Ministro dell’Industria Canadese, James Moore, la legge in questione dovrebbe ad ogni caso entrare in vigore già a partire dal prossimo 1° luglio. Si tratterà di un provvedimento legislativo volto non solo a regolare i flussi ordinari di spam, ma anche a contrastare ulteriori attività svolte in settori più o meno direttamente collegati al mondo degli spammer, quali, ad esempio, l’organizzazione di estese botnet, la conduzione di campagne di phishing e di mailing di massa preposti a distribuire pericolosi programmi nocivi nelle e-mail box degli utenti della Rete.

Ripartizione delle fonti di spam per regioni geografiche

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel corso del 2013

Nel 2013, così come nell’anno precedente, al primo e al secondo posto della speciale graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche si sono rispettivamente collocate l’Asia (+ 5,3%) e l’America Settentrionale (+ 3,2%). La terza posizione del rating “regionale” è andata ad appannaggio dell’Europa Orientale; rispetto al 2012, la quota percentuale relativa a tale macro-area geografica è in sostanza quasi raddoppiata.

L’indice percentuale complessivamente attribuibile all’Europa Occidentale ha fatto registrare una flessione del 2,4%; nonostante ciò, tale macro-regione continua ad occupare la quarta piazza della speciale graduatoria, così come nel 2012. Osserviamo, infine, come la quota ascrivibile al continente latino-americano sia diminuita di ben 3 volte rispetto all’anno precedente; l’America Latina è così scesa dalla terza alla quinta posizione del rating qui analizzato.

Dimensioni dei messaggi di spam

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Ripartizione dei messaggi di spam in base alle loro dimensioni – Anno 2013

Il 2013 può essere senza ombra di dubbio considerato come l’anno dei messaggi di spam super-brevi. La quota relativa alle e-mail indesiderate con dimensioni non superiori ad 1 Kb è risultata in effetti pari al 74,5% del volume complessivo dei messaggi di spam individuati all’interno dei flussi di posta elettronica mondiali. L’utilizzo di messaggi “compatti” permette agli spammer di inviare un elevato numero di e-mail “spazzatura”, limitando, al contempo, l’entità del traffico generato. Di fatto, non appare particolarmente difficile creare, tramite un apposito robot, frasi e testi decisamente brevi, magari radicalmente diversi da un messaggio all’altro, avvalendosi di una decina di parole a tema e di ripetuti “imbrattamenti” casuali del testo. Tali accorgimenti consentono di conferire un aspetto di unicità alle e-mail distribuite nelle caselle di posta elettronica degli utenti della Rete e di complicare, quindi, il lavoro abitualmente eseguito dai filtri anti-spam. I messaggi riconducibili a tale tipologia contengono essenzialmente link preposti a condurre i destinatari delle e-mail verso siti a carattere pubblicitario. Tipici rappresentanti dello spam “super-breve” sono, ad esempio, quei messaggi di posta elettronica – tuttora largamente presenti all’interno dei flussi e-mail – volti a reclamizzare farmaci (più o meno contraffatti) del tipo di viagra e cialis.

Allegati nocivi rilevati nel traffico di posta elettronica

Nel 2013, la quota relativa ai messaggi e-mail contenenti allegati dannosi si è attestata su un valore medio pari al 3,2% del traffico di posta elettronica globale, facendo in tal modo registrare un decremento di 0,2 punti percentuali rispetto all’analogo valore rilevato nell’anno precedente. Continua tuttavia a rimanere decisamente elevato il numero delle e-mail di spam preposte a convogliare allegati nocivi verso le e-mail box degli utenti.

Per il terzo anno consecutivo, i programmi malware individuati con maggior frequenza all’interno dei flussi e-mail sono risultati essere i software nocivi preposti a realizzare il furto dei dati confidenziali degli utenti, ed in special modo di login e password relativi agli account utilizzati per eseguire operazioni di banking online.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica nel corso del 2013

La TOP 10 dell’anno 2013 relativa ai software dannosi maggiormente presenti nei flussi di posta elettronica mondiali risulta saldamente capeggiata, così come nel 2012, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen (7,90%); la quota attribuibile a tale programma nocivo ha fatto registrare un ulteriore aumento (pari, all’incirca, ad un punto percentuale) rispetto all’analogo indice rilevato nell’anno precedente. Il programma malware in questione viene abitualmente diffuso tramite le e-mail di phishing e costituisce, tuttora, uno dei principali metodi di attacco presenti nel sempre nutrito “arsenale” dei phisher. Ricordiamo, a tal proposito, come il suddetto programma trojan sia stato elaborato dai suoi autori sotto forma di una pagina HTML in grado di riprodurre i form di registrazione di determinati servizi di Internet banking, sistemi di pagamento online o altri servizi erogati nel World Wide Web. I cybercriminali di turno utilizzano poi i dati di registrazione illegalmente carpiti, inseriti dall’utente nei “form” fasulli, per impadronirsi delle somme di denaro depositate nei conti bancari violati.

Dalla seconda alla quarta posizione del rating, così come alla settima e alla nona piazza della speciale graduatoria analizzata nel presente capitolo del nostro consueto report annuale sul fenomeno spam – troviamo poi i worm di posta elettronica denominati Bagle e Mydoom. La principale funzionalità di cui sono provvisti tali temibili software nocivi consiste nel raccogliere illecitamente gli indirizzi di posta presenti nei computer contagiati e realizzare il successivo processo di auto-diffusione in Rete, condotto tramite gli account di posta elettronica sottratti. I worm riconducibili alla famiglia Bagle, tuttavia, in aggiunta alle funzionalità standard qui sopra illustrate, risultano provvisti di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire da remoto con il centro di controllo allestito dai cybercriminali, e di ricevere quindi da quest’ultimo appositi comandi volti a generare il download e la successiva installazione di altri software nocivi sui computer infettati.

La quinta posizione della TOP 10 relativa all’anno 2013 è andata ad appannaggio del malware classificato dagli esperti di sicurezza IT con la denominazione di Trojan-Banker.HTML.Agent.p. Così come il trojan Fraud.gen, anche tale programma nocivo è stato realizzato sotto forma di una pagina HTML in grado di imitare i moduli di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso si prefigge, in tal modo, di compiere il furto di login e password relativi agli account aperti in Rete dagli utenti.

La sesta piazza della speciale graduatoria da noi stilata, relativa ai software nocivi maggiormenti diffusi all’interno dei flussi e-mail globali, risulta occupata da un trojan-spy appartenente alla famigerata famiglia di malware denominata Zbot. Lo scopo principale che si prefiggono i programmi dannosi appartenenti alla famiglia ZeuS/Zbot è rappresentato dal furto delle informazioni confidenziali di varia natura custodite nei computer degli utenti, inclusi – ovviamente – i dati sensibili relativi alle carte di credito. Ricordiamo, con l’occasione, come lo scorso anno il programma nocivo in causa non fosse entrato a far parte della TOP 10 qui analizzata; ci siamo ad ogni caso ben guardati dal perdere di vista le numerose temibili varianti di malware riconducibili alla famiglia Zbot: si tratta, come è noto, di software nocivi comparsi sulla scena del malware già da molti anni, i quali, tuttavia, vengono continuamente modificati e perfezionati dai virus writer.

All’ottava piazza della graduatoria qui sopra riportata è andato a collocarsi il programma maligno denominato Trojan-PSW.Win32.Tepfer.hjva. I software nocivi riconducibili a tale tipologia sono stati appositamente creati dai virus writer allo scopo di realizzare il furto delle password che consentono agli utenti di accedere agli account da essi aperti in Rete.

In ultima posizione, nell’ambito della TOP 10 da noi stilata, troviamo infine il malware classificato con la denominazione di Trojan.Win32.Bublik.aknd. Tale software dannoso provvede ad effettuare la raccolta di dati sensibili di varia natura all’interno del computer-vittima: password utilizzate per le connessioni FTP, dati necessari per ottenere l’autorizzazione ad usufruire di servizi di posta elettronica, certificati di vario genere. Inoltre, il trojan in questione, è in grado di passare in rassegna ed esaminare i form visualizzati dall’utente all’interno dei browser Mozilla Firefox e Google Chrome, alla ricerca delle login e password memorizzate. I dati illecitamente sottratti vengono poi trasmessi ai malintenzionati.

Continuando la nostra analisi, desideriamo porre in evidenza come alcune famiglie di malware comprendano numerose varianti di software nocivo, mentre altre famiglie ne presentano, a loro volta, un numero decisamente più contenuto. E’ per tale specifico motivo che il rating relativo alle famiglie di malware riscontrate con maggior frequenza all’interno dei flussi e-mail mondiali si differenzia considerevolmente rispetto alla classifica riguardante i singoli programmi nocivi individuati nel traffico di posta elettronica nel corso del 2013.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

TOP 10 relativa alle famiglie di malware maggiormente diffuse nel traffico di posta elettronica – Situazione relativa all’anno 2013

Oltre ai programmi nocivi sopra descritti, appartenenti alle famiglie Tepfer, Zbot, Bublik, Fraud, Mydoom e Bagle, la classifica qui sopra inserita annovera i seguenti malware:

  • Backdoor.Win32.Androm. Come è noto, i programmi backdoor consentono ai malintenzionati di assumere il pieno controllo del computer sottoposto a contagio informatico, a totale insaputa della vittima. In tal modo i cybercriminali possono, ad esempio, effettuare il download ed avviare l’esecuzione di ulteriori file nocivi sul computer infetto, procedere all’invio di dati ed informazioni di qualsiasi genere utilizzando la macchina compromessa dal malware, nonché eseguire numerose altre attività nocive. Inoltre, i computer infettati da programmi nocivi di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta create dai malintenzionati.
  • Trojan-Ransom.Win32.Blocker. Tali programmi maligni risultano preposti a compiere subdole operazioni di estorsione e ricatto nei confronti delle vittime. Essi bloccano il funzionamento del sistema operativo preso di mira, per far poi apparire sul desktop un apposito banner che mostra le condizioni fissate per il “riscatto”, le quali possono consistere, ad esempio, nell’invio di un messaggio SMS – contenente un determinato testo – verso un costoso numero a pagamento, appositamente allestito dai malintenzionati per prosciugare rapidamente l’account telefonico della vittima.
  • Trojan-PSW.Win32.Fareit.amdp. Una volta avviato, esso procede direttamente alla ricerca dei dati sensibili memorizzati all’interno del registro e dei file di sistema. Lo scopo che intende raggiungere il suddetto programma trojan è quello di individuare, ed in seguito trasmettere ai malintenzionati di turno, login ed altre informazioni di natura confidenziale.
  • Trojan.Win32.Inject. Il principale compito cui sono preposti tali programmi nocivi è rappresentato dall’esecuzione del download, sul computer-vittima, di ulteriori programmi nocivi.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del 2013

Le prime tre posizioni della TOP-20 annuale relativa ai paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – sono rimaste invariate rispetto all’analogo rating stilato per l’anno precedente. Il “podio” virtuale risulta pertanto formato da Stati Uniti, Germania e Gran Bretagna. Tuttavia, mentre nel corso dell’anno oggetto del presente report gli indici percentuali relativi a Stati Uniti e Germania non hanno subito significative variazioni, le quote attribuibili al Regno Unito hanno invece fatto registrare sensibili incrementi; in effetti, nel primo trimestre del 2013 l’indice relativo alla Gran Bretagna ha fatto segnare un aumento di 5,4 punti percentuali, mentre nel quarto trimestre dell’anno tale incremento è risultato addirittura pari all’ 11,9%.

Kaspersky Security Bulletin. Lo spam nell'anno 2013

Variazione delle quote percentuali relative ai rilevamenti eseguiti dall’antivirus e-mail sul territorio della Gran Bretagna nel corso del 2013

Le quote ascrivibili ai rimanenti paesi presenti in graduatoria hanno evidenziato soltanto leggere variazioni rispetto all’anno precedente, ad eccezione dell’Italia (+ 2,1%), passata dalla decima alla quinta posizione della speciale classifica da noi elaborata. Il motivo di tale repentina ascesa all’interno del rating qui analizzato è principalmente da imputare al fatto che, nello scorso mese di febbraio, l’Italia è stata oggetto di un’estesa ed insistita campagna di spam nocivo, volta a distribuire nelle e-mail box degli utenti il malware classificato come Trojan-Banker.HTML.Agent.p. Di fatto, nel febbraio 2013, l’Italia è persino salita alla prima posizione della TOP-10 mensile relativa ai paesi nei quali l’antivirus dedicato alla posta elettronica rileva con maggior frequenza i programmi malware distribuiti attraverso i flussi e-mail.

Phishing

Kaspersky Security Bulletin. Lo spam nell'anno 2013

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing* nel corso del 2013 – Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

* La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente “Anti-phishing” attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l’utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all’interno di messaggi di spam oppure link disseminati nel World Wide Web.

Nel quadro della speciale graduatoria relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher nel corso del 2013, si è verificato un sensibile aumento degli indici percentuali ascrivibili alle categorie non direttamente correlate ad attività di natura finanziaria. In tal modo, all’interno della TOP-100 da noi elaborata, la quota relativa agli attacchi condotti nei confronti dei social network ha fatto registrare un incremento di ben 7,6 punti percentuali rispetto all’analoga graduatoria stilata per l’anno precedente; i portali dei motori di ricerca, da parte loro, hanno fatto segnare un significativo aumento, pari all’ 1,8%. Evidenziamo, inoltre, come la quota riconducibile agli attacchi di phishing rivolti alla categoria che raggruppa i servizi di posta elettronica risulti addirittura quadruplicata rispetto al medesimo rating del 2012. Per contro, nell’arco di un anno, sono considerevolmente diminuiti i valori percentuali ascrivibili alle categorie “Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari” (- 6%) e “Negozi Internet ed aste online” (- 12,2%).

Tali evidenti variazioni, nell’ambito della speciale classifica qui esaminata, dimostrano in maniera inequivocabile come la “monetizzazione” delle pratiche di phishing avvenga in gran parte attraverso la vendita degli account illecitamente carpiti, i quali, a loro volta, possono essere ulteriormente utilizzati per l’invio di massicce quantità di spam o di temibili contenuti dannosi, tramite i relativi elenchi dei contatti. Come è noto, al momento attuale risulta ben marcata, nel mondo di Internet, la tendenza ad unificare i vari account di cui possono disporre gli utenti della Rete; in pratica, tramite un unico account risulta possibile ottenere l’accesso ad un portale multifunzione, che include servizi di posta elettronica, social network, fornitura di spazio web e molto altro ancora. Inoltre, l’account dell’utente può essere collegato ai dati bancari di cui quest’ultimo si avvale per eseguire pagamenti e transazioni online. E’ quindi facile immaginare come un account del genere possa divenire un bersaglio particolarmente allettante per le folte schiere dei cybercriminali che operano in ogni angolo del globo.

Conclusioni e previsioni

Nel 2013, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un decremento del 2,5% rispetto all’analogo indice riscontrato per l’anno precedente. E’ di particolare interesse osservare come, a partire dallo scorso mese di febbraio, le quote percentuali relative ai messaggi e-mail “spazzatura” individuati nei flussi di posta elettronica globali si siano mantenute sostanzialmente stabili, non presentando, di fatto, significative variazioni su base mensile. E’ quindi lecito ritenere che, con ogni probabilità, nel corso del prossimo anno, i valori relativi alle quote di spam presenti all’interno dei flussi e-mail mondiali non possano subire sensibili cambiamenti. Desideriamo tuttavia sottolineare come, nell’anno oggetto del presente report, si sia notevolmente estesa la cosiddetta “zona grigia” dello spam, ovvero quell’area nella quale possono essere collocati, a pieno diritto, i messaggi di posta elettronica inviati contemporaneamente sia a coloro che sottoscrivono le newsletter, sia ad un’ampia cerchia di persone per nulla interessate a ricevere tale genere di corrispondenza sulla propria e-mail box.

Parallelamente ad una pronunciata diminuzione delle offerte e delle proposte commerciali del tutto legittime, stiamo attualmente assistendo, sulla scena mondiale dello spam, ad un consistente aumento, in proporzione, del numero dei messaggi di posta elettronica fraudolenti, così come dei messaggi “spazzatura” preposti a diffondere pericolosi allegati nocivi. Per di più, mentre in precedenza i malintenzionati cercavano di sfruttare soprattutto l’inesperienza e le scarse conoscenze tecniche di numerosi utenti della Rete in materia di sicurezza informatica, al momento attuale, visto il crescente numero di utenti in grado di applicare alla propria vita digitale, in misura sempre maggiore, le regole essenziali da seguire nel campo della sicurezza IT, i truffatori e i malintenzionati stanno escogitando nuovi trucchi e metodi, sempre più sofisticati e raffinati, al fine di perseguire i propri loschi fini; nel corso del 2013, ad esempio, i cybercriminali hanno spesso cercato di distribuire pericolosi file nocivi nelle e-mail box dei destinatari dei messaggi dannosi, con l’astuto pretesto di fornire qualche aggiornamento assolutamente indispensabile per il prodotto antivirus installato sul computer dell’utente-vittima.

Tra gli allegati nocivi individuati con maggior frequenza all’interno dei flussi e-mail sono risultati presenti in misura costantemente crescente i software dannosi preposti a realizzare il furto dei dati confidenziali degli utenti, ed in special modo di login e password relativi agli account utilizzati per eseguire transazioni finanziarie online, attraverso i sistemi di Internet banking. Con ogni probabilità, tale specifica tendenza si manifesterà anche nell’anno a venire.

E’ di particolare interesse osservare come le pratiche di phishing, invece, stiano prendendo sempre più di mira categorie di organizzazioni non direttamente correlate ad attività di natura finanziaria, quali le categorie che raggruppano i social network ed i servizi di posta elettronica. In parte, ciò trova una logica spiegazione nel fatto che, al giorno d’oggi, un singolo account di posta elettronica consente di ottenere l’accesso immediato ad una considerevole quantità di contenuti online, incluso servizi e-mail, social network, programmi di messaggistica istantanea, cloud storage, nonché di far riferimento ad una specifica carta di credito dell’utente.

Il panorama dello spam mondiale è soggetto a continui mutamenti; al momento attuale risulta tuttavia bene evidente come, al suo interno, stia progressivamente diminuendo il numero dei tradizionali messaggi di posta elettronica indesiderati volti a reclamizzare i prodotti e i servizi più disparati. Al contempo, nel quadro dei flussi e-mail globali, si stanno complessivamente intensificando i mailing di massa fraudolenti, le campagne di spam organizzate dai malfattori per distribuire pericolosi programmi nocivi, così come le pratiche di phishing. Pertanto, anche gli utenti della Rete più esperti dovranno necessariamente dimostrarsi ancor più cauti ed accorti del solito, per evitare di cadere nei subdoli tranelli (più o meno) abilmente tesi dai malintenzionati di turno.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *