Spam e phishing nel primo trimestre del 2015

Contenuti

Spam: le caratteristiche peculiari del trimestre

Nuove zone di dominio

Nel mese di gennaio del 2014 ha avuto inizio il programma New gTLD, relativo alla registrazione di nuovi domini di primo livello generici, appositamente creati per soddisfare le specifiche esigenze di determinate classi di aziende, organizzazioni o comunità. Il principale vantaggio derivante dal lancio di tale programma è in effetti rappresentato dalla possibilità, per società, enti ed organizzazioni di scegliere la zona di dominio che meglio si addice alla sfera delle attività condotte e alle tematiche espresse nei relativi siti web. Le nuove opportunità di business che reca in sé il programma New gTLD sono state salutate in maniera entusiastica dalla comunità di Internet; prova ne è il fatto che sta tuttora proseguendo, in maniera decisamente attiva, il processo di registrazione di nuovi nomi di dominio.

Una situazione del genere non poteva non risultare particolarmente appetibile anche agli occhi di spammer e malintenzionati della Rete in genere; per essi, i nuovi domini attualmente disponibili sono in effetti subito divenuti un eccellente strumento per la conduzione di campagne illegittime. Così, le nuove zone di dominio sono state immediatamente sfruttate per la diffusione su larga scala di spam pubblicitario, e-mail di phishing e messaggi di posta malevoli. I cybercriminali, nella circostanza, hanno provveduto a registrare appositi domini per la conduzione di campagne di spam nocivo o pubblicitario, oppure, in alternativa, hanno violato siti web già esistenti, per collocare al loro interno le pagine degli spammer; in alcuni casi, tuttavia, i malintenzionati hanno utilizzato contemporaneamente le due diverse tipologie di azione, allo scopo di effettuare il redirecting verso i siti allestiti dagli spammer.

Spam e phishing nel primo trimestre del 2015

Sulla base delle osservazioni da noi effettuate, nel trimestre oggetto del presente report, all’interno del traffico di posta elettronica è considerevolmente aumentato il numero dei nuovi domini dai quali sono stati inviati messaggi di spam dai contenuti più diversi. In generale, le tematiche di tale spam non sono dipese in maniera determinante dai relativi nomi di dominio, sebbene in alcuni casi, tra i due elementi, risulta comunque possibile trovare qualche nesso logico. Ad esempio, nei messaggi di posta provenienti dai domini .work è stata rilevata una considerevole quantità di offerte riguardanti varie attività lavorative, quali manutenzioni in ambito domestico, lavori di costruzione o installazione di apparecchiature. Allo stesso modo, una consistente parte delle e-mail inviate dai domini .science si componeva di réclame relative a scuole ed istituti di istruzione con possibilità di studio a distanza, campus per la formazione di infermiere, avvocati specializzati in diritto penale e professionisti di altro genere.

Spam e phishing nel primo trimestre del 2015

In seno al traffico di spam che ha caratterizzato il primo trimestre del 2015 è stata ugualmente individuata la presenza di una considerevole quantità di messaggi di posta inviati attraverso domini indicanti colori specifici: .pink, .red, .black. E-mail del genere sono state in particolar modo utilizzate per pubblicizzare siti asiatici di incontri online. Di regola, tali domini di primo livello, utilizzati nell’ambito di mailing di massa dedicati al tema degli incontri in Internet, sono poi risultati “vuoti”, nel senso che non contenevano nessun elemento logicamente riconducibile alla suddetta tematica. In pratica, gli stessi venivano esclusivamente impiegati allo scopo di reindirizzare gli utenti verso i siti principali. Desideriamo inoltre sottolineare come anche i domini di primo livello utilizzati per tali siti web fossero di recente creazione e, per di più, venissero cambiati di continuo, a differenza del loro contenuto, sempre realizzato sulla base di un unico modello, caratteristica in genere tipica dei messaggi di spam.

Spam e phishing nel primo trimestre del 2015

Come evidenzia lo screenshot esemplificativo qui sopra riportato, nell’ambito di tali messaggi – dedicati a siti asiatici di incontri – i domini di secondo livello, e di livelli ancora inferiori, vengono generati automaticamente e sono di fatto costituiti da una combinazione del tutto sconclusionata di caratteri alfanumerici. Per ciò che riguarda infine le zone di dominio, si ricorre non solo all’utilizzo delle sigle attivate nel quadro del programma New gTLD, ma anche all’impiego di domini di primo livello ormai noti a tutti, quali .com, .org, .info, ed altri ancora.

Nuovi domini, vecchie tematiche

Relativamente alle tematiche sfruttate dallo spam nell’ambito dei nuovi domini, e, nel complesso, dallo spam che ha caratterizzato il primo trimestre dell’anno, emerge in tutta evidenza come uno dei temi più diffusi – per quantità di messaggi di posta ad esso inerenti, e per numero di domini – continuamente modificati – utilizzati nel quadro dei mailing di massa – sia indubbiamente quello riguardante il mondo delle assicurazioni. Tale tematica abbraccia qualsiasi tipologia di assicurazione: vita, salute, beni e proprietà, autovetture, animali, persino le assicurazioni relative ai servizi funebri. Lo spam contenente offerte di servizi assicurativi si è caratterizzato non solo per l’utilizzo di domini di primo livello di recente creazione, ma anche per l’impiego di domini violati oppure già scaduti. Tuttavia, nonostante il frequente ricorso ai nuovi domini, gli spammer hanno continuato ad avvalersi dei consueti vecchi trucchi del mestiere, come, ad esempio, inserire nel campo “From” del messaggio di posta i domini relativi a note società ed organizzazioni, quali @amazon.com, oppure @ebay.com.

Spam e phishing nel primo trimestre del 2015

I messaggi e-mail da noi individuati ed analizzati, in genere, erano stati realizzati sulla base di un unico, preciso modello:

  • una quantità di testo molto limitata (in sostanza, il classico titolo del messaggio, composto solo da alcune parole e poi ripetuto in maniera identica nel corpo dell’e-mail);
  • uno o più link, preposti al download, parziale o completo, di qualche immagine dai colori sgargianti, contenente le necessarie informazioni pubblicitarie (un testo pubblicitario più completo e dettagliato, così come le relative informazioni di contatto: indirizzo del sito web, numero di telefono, denominazione della società);
  • un ulteriore link esteso, appositamente inserito dagli spammer per condurre i destinatari del messaggio verso la risorsa web corrispondente al contenuto dell’e-mail;
  • testo aggiuntivo, allo scopo di “imbrattare” il messaggio di posta.

Il testo in causa si compone di frasi del tutto sconnesse e prive di senso, oppure di singole parole, scritte in qualsiasi lingua, non necessariamente nella lingua utilizzata per elaborare l’e-mail; tutto questo, in genere, rimane poi invisibile a colui che legge il messaggio, visto che le frasi, o le parole, vengono scritte in bianco, oppure con caratteri quasi incolori, sullo sfondo bianco standard. L’utilizzo di tale metodo è stato da noi rilevato non soltanto nell’ambito delle campagne di spam ispirate alle tematiche delle assicurazioni, ma anche in numerosi altri mailing di massa.

Spam e phishing nel primo trimestre del 2015

Codice sorgente di una pagina contenente una combinazione casuale di parole,
specificamente inserite dagli spammer per “imbrattare” a dovere il messaggio

Metodi e trucchi adottati dagli spammer

Gli spammer ricorrono spesso all’imbrattamento del contenuto dell’e-mail – mediante lunghi frammenti di testo scritti con caratteri di colore bianco, sullo sfondo bianco standard – proprio nel tentativo di eludere l’azione protettiva svolta dai filtri antispam. Tale stratagemma fa sì che il filtro abbia in pratica l’illusione che il testo presente nel messaggio non sia riconducibile allo spam.

Spam e phishing nel primo trimestre del 2015

Un ulteriore metodo utilizzato per camuffare il reale contenuto del testo dei messaggi, peraltro attivamente sfruttato dagli spammer nel corso del trimestre qui analizzato, consiste nell’alterare deliberatamente gli indirizzi dei siti di spam, scrivendo gli stessi con degli spazi, oppure aggiungendo ad essi dei caratteri “spazzatura”. Allo stesso tempo, da qualche altra parte, nel testo dell’e-mail di spam, risultano comunque presenti sia il nome del dominio di secondo livello sul quale risulta collocato il sito degli spammer, sia apposite istruzioni per “utilizzare” lo stesso assieme alla relativa zona di dominio. Il destinatario del messaggio si può quindi imbattere in istruzioni del genere: “rimuovere tutti i caratteri superflui e copiare poi sulla barra degli indirizzi”, oppure “inserire nella barra degli indirizzi senza gli spazi”. In pratica, si propone all’utente di ricreare da solo l’indirizzo del sito di spam, e di introdurre poi lo stesso nel browser Internet.

Spam e phishing nel primo trimestre del 2015

Le macro nello spam maligno

Lo spam sta divenendo sempre più pericoloso per gli utenti Internet. I cybercriminali, in effetti, non solo escogitano costantemente nuovi trucchi ed espedienti, ma, con una frequenza sempre maggiore, ricorrono a metodi ormai noti da tempo, tuttavia già dimenticati dagli stessi utenti. Così, nel primo trimestre del 2015, i malintenzionati, per mezzo di apposite campagne di spam, hanno distribuito nelle e-mail box degli utenti della Rete tutta una serie di virus macro, ovvero dei programmi nocivi scritti tramite il linguaggio macro incorporato nei sistemi di elaborazione dati (editor di testo e grafici, fogli di calcolo, etc.).

Tutte le e-mail dannose contenevano un allegato provvisto di estensione .doc o .xls; all’apertura di quest’ultimo veniva poi avviata l’esecuzione dello script VBA. Lo script in questione generava, a sua volta, il download e l’installazione nel sistema di ulteriori programmi malware, come, ad esempio, il Trojan bancario Cridex. Nella circostanza, i virus macro da noi rilevati sono risultati appartenere alla tipologia dei Trojan-Downloader; si è trattato, più precisamente, dei seguenti malware: Trojan-Downloader.MSExcel.Agent, Trojan-Downloader.MSWord.Agent, Trojan-Downloader.VBS.Agent.

Principalmente, gli allegati maligni in causa si camuffavano sotto forma di documenti di vario genere, più o meno legati alla sfera finanziaria: notifiche di multe, trasferimenti di denaro, fatture non pagate, pagamenti, ordini, reclami, biglietti elettronici, etc.

Tra le varie notifiche di natura fraudolenta abbiamo spesso individuato messaggi e-mail fasulli apparentemente inviati da enti statali, negozi, servizi di prenotazione, compagnie aeree ed altre note organizzazioni.

Spam e phishing nel primo trimestre del 2015

Un interessante esempio di comunicazione fasulla è rappresentato dalla falsa ricevuta di pagamento inviata a nome del direttore della filiale di una delle società britanniche leader nella fornitura di refrigeratori per ufficio. Si può notare, nello screenshot qui sotto inserito, come la composizione del messaggio fasullo risulti estremamente simile a quella di un’e-mail ufficiale, con tanto di informazioni di contatto complete, logo aziendale e link apparentemente attendibili.

Spam e phishing nel primo trimestre del 2015

All’inizio dell’anno, abbiamo individuato, all’interno dei flussi e-mail, la conduzione di una campagna di spam nocivo preposta a distribuire messaggi di posta contenenti allegati maligni nel formato di Microsoft Word o Excel. Invece delle informazioni aggiuntive promesse nell’e-mail, l’allegato conteneva un insidioso Trojan-Downloader (Trojan-Downloader.MSExcel.Agent o Trojan-Downloader.MSWord.Agent), il quale avrebbe poi scaricato sul computer-vittima ulteriore malware. Le e-mail distribuite per mezzo di tale campagna di spam erano state elaborate secondo uno stesso identico modello; in pratica, ciò che cambiava, da messaggio a messaggio, era esclusivamente l’indirizzo del mittente, e la somma di denaro indicata nell’oggetto e nel corpo dell’e-mail.

Spam e phishing nel primo trimestre del 2015

Il contenuto del documento che reca il virus macro può apparire come un set di caratteri casuali, del tutto simile a ciò che viene di solito visualizzato in caso di codifica errata. I malintenzionati utilizzano tale metodo per far sì che, con il pretesto di dover correggere la codifica, la potenziale vittima si convinca ad abilitare le macro, in quanto, già nel 2007, la compagnia Microsoft, per ragioni di sicurezza, ha disattivato l’abilitazione automatica delle macro all’interno dei file.

Spam e phishing nel primo trimestre del 2015

Oltre ai mailing di massa in cui lo script nocivo era stato inserito in veste di macro, abbiamo ugualmente individuato, nel traffico di posta elettronica del primo trimestre dell’anno, vari messaggi e-mail nei quali lo script era stato collocato sotto forma di oggetto. Gli autori di uno di tali messaggi, come si può vedere qui sotto, comunicavano al destinatario dell’e-mail che quest’ultimo avrebbe dovuto pagare, entro una settimana, l’importo relativo ad un certo debito; in caso contrario, nei suoi confronti sarebbe stata avviata un’azione legale, la quale avrebbe sicuramente comportato spese aggiuntive.

Spam e phishing nel primo trimestre del 2015

Anche in questa occasione, il file allegato risultava essere in formato Microsoft Word, ma lo script VBS maligno (rilevato da Kaspersky Lab come Trojan-Downloader.VBS.Agent.all) era stato inserito al suo interno in qualità di oggetto. Per cercare di ingannare l’utente, lo script in questione si presentava sotto forma di file Excel; a tal proposito, i malfattori erano ricorsi all’utilizzo dell’icona di tale programma, aggiungendo poi l’estensione .xls alla denominazione del file.

Spam e phishing nel primo trimestre del 2015

Ricordiamo, nella circostanza, che il primo macro virus della storia del malware fu individuato già nel mese di agosto dell’anno 1995, nei documenti MS Word. Il virus Concept riuscì ad infettare piuttosto rapidamente decine di migliaia di computer, in tutto il mondo. Nonostante siano ormai trascorsi quasi venti anni, questa tipologia di malware risulta ancora ampiamente diffusa; molto dipende dal fatto che il linguaggio VBA, appositamente sviluppato per creare le macro, è tuttora uno dei linguaggi di programmazione più semplici, accessibili e funzionali.

La maggior parte dei virus macro si dimostra attiva non soltanto al momento dell’apertura o della chiusura del file infetto, ma anche per tutto il tempo in cui l’utente opera con il proprio editor (di testo o di fogli di calcolo). La notevole pericolosità dei virus macro risiede nel fatto che essi non infettano solo il file aperto inizialmente, ma anche gli altri file che risultano direttamente accessibili.

L’ampia diffusione dei macro virus all’interno dei flussi di posta elettronica globali non è esclusivamente dovuta alla semplicità con cui tali malware possono essere creati; un altro elemento determinante è rappresentato proprio dal fatto che gli utenti operano costantemente con gli editor di testo e con gli editor di fogli di calcolo e, di fatto, non sono sempre consapevoli del potenziale pericolo costituito dalla presenza di tali virus.

Allegati maligni rilevati nel traffico e-mail

Spam e phishing nel primo trimestre del 2015

TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica – Situazione riguardante il primo trimestre del 2015

La prima posizione della speciale graduatoria trimestrale da noi stilata relativamente ai programmi malevoli rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale risulta occupata dal malware classificato con la denominazione di Trojan-Banker.Win32.ChePro.ink, il quale, in precedenza, era andato ad occupare soltanto il 6° posto nell’ambito dell’analogo ranking relativo all’intero anno 2014. Si tratta, più precisamente, di un downloader realizzato dai propri autori sotto forma di applet dotato di estensione CPL (componente del pannello di controllo), preposto a scaricare temibili programmi Trojan sul computer sottoposto ad attacco; tali programmi maligni, a loro volta, vengono in seguito utilizzati dai cybercriminali per compiere il furto delle informazioni confidenziali legate alla sfera finanziaria dell’utente-vittima. I malware riconducibili a tale specifica tipologia prendono principalmente di mira gli istituti bancari brasiliani e portoghesi.

Alla seconda piazza della graduatoria trimestrale troviamo poi il software maligno classificato dagli esperti di sicurezza IT come Trojan-Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, come tale programma dannoso sia stato elaborato dai suoi autori sotto forma di una pagina HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web. Il malware Fraud.gen viene abitualmente distribuito tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da famosi istituti bancari, celebri negozi Internet, software house di primaria importanza ed organizzazioni di altro genere.

Il quarto ed il settimo posto del rating analizzato nel presente capitolo del nostro consueto report trimestrale dedicato al fenomeno spam, risultano occupati dai software nocivi denominati, rispettivamente, Trojan-Downloader.HTML.Agent.aax e Trojan.HTML.Redirector.ci Si tratta, nella fattispecie, di oggetti maligni confezionati dai virus writer in veste di pagine HTML contenenti un apposito codice per reindirizzare l’utente-vittima verso il sito web malevolo allestito dai cybercriminali. In genere, su tale sito nocivo, la vittima si imbatte poi in una pagina di phishing, o in qualche proposta relativa al download di Binbot, la nota applicazione adibita al trading automatizzato su opzioni binarie, particolarmente diffusa proprio in questi ultimi tempi. I due suddetti software nocivi vengono distribuiti dai malfattori tramite appositi allegati maligni di posta elettronica e si differenziano, in pratica, solo per il link attraverso il quale viene avviata la procedura di redirect prevista.

Il sesto posto del rating in questione è andato ad appannaggio del programma malware denominato Trojan.Win32.VBKrypt.sbds. Esso è riconducibile alla forma più classica e diffusa di trojan-downloader – software dannosi la cui principale funzionalità consiste, per l’appunto, nel download e nel successivo avvio, sul computer-vittima, di un temibile file nocivo, a totale insaputa dell’utente.

L’ottava e la decima piazza della speciale TOP-10 risultano occupate da due downloader appartenenti alla famiglia Upatre, rispettivamente Trojan-Downloader.Win32.Upatre.fbq e Trojan-Downloader.Win32.Upatre.fca. Il loro compito principale è quello di scaricare, decomprimere ed avviare l’esecuzione di applicazioni aggiuntive. Tali malware sono soliti mascherarsi in veste di documenti PDF o RTF.

Se invece consideriamo non i singoli programmi malevoli, bensì le famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale, rileviamo come, nel primo trimestre del 2015, l’analoga graduatoria risulti capeggiata dalla famiglia di malware denominata Upatre, subito collocatasi al primo posto della classifica in questione. Nella maggior parte dei casi, i programmi riconducibili alla famiglia Upatre effettuano il download del trojan bancario Dyre (conosciuto anche con l’appellativo di Dyreza, o Dyzap); in tal modo, la famiglia di malware in causa è andata ugualmente ad occupare la prima posizione del rating riservato alle attuali minacce IT rivolte alla sfera bancaria degli utenti.

La famiglia Аndromeda, leader dell’analoga classifica relativa all’intero anno 2014, è scesa al secondo posto del ranking. Ricordiamo, nella circostanza, che i software nocivi appartenenti a tale famiglia consentono ai criminali informatici di assumere il pieno controllo del computer sottoposto a contagio informatico, all’insaputa dell’utente. Inoltre, i computer infettati da programmi malware di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati.

Sul terzo gradino del “podio” virtuale troviamo poi la famiglia denominata MSWord.Agent. Tali software malevoli vengono realizzati dai virus writer sotto forma di file provvisti di estensione .doc, con tanto di apposita macro incorporata, scritta in VBA (Visual Basic for Applications), la quale viene automaticamente eseguita al momento dell’apertura del documento. Nella circostanza, è la stessa macro che, di fatto, provvede a generare il download e la successiva esecuzione di ulteriore malware, il quale può essere ad esempio costituito da software dannosi riconducibili alla famiglia Andromeda.

I programmi trojan appartenenti alla famigerata famiglia ZeuS/Zbot si sono invece collocati soltanto in settima posizione, nell’ambito del rating qui esaminato. Tali software nocivi, tra i più noti ed accessibili per le folte schiere dei malintenzionati, si contraddistinguono per il fatto di essere particolarmente complessi e sofisticati; essi risultano preposti al furto delle informazioni sensibili collegate agli account bancari e, di conseguenza, alla sottrazione delle risorse finanziarie possedute dagli utenti-vittima.

Paesi maggiormente bersagliati dai mailing di massa maligni

Spam e phishing nel primo trimestre del 2015

Suddivisione per paesi dei rilevamenti effettuati dal modulo antivirus e-mail
nel corso del primo trimestre del 2015

Nelle prime tre posizioni delle speciale graduatoria trimestrale relativa ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – si sono verificati notevoli cambiamenti. In primo luogo, in maniera del tutto inattesa, sul secondo gradino del “podio” virtuale, superando la Germania, si è insediato il Brasile (7,44% contro il 3,55% fatto complessivamente registrare nel 2014). In prima posizione troviamo la Gran Bretagna (7,85%), mentre gli Stati Uniti occupano la terza piazza della graduatoria, con una quota pari al 7,18%; da parte sua, la Germania, che per lungo tempo aveva fatto parte della “trojka” situata ai vertici della classifica, è scesa al quarto posto del ranking da noi stilato (6,05%).

È di particolare interesse, inoltre, rilevare come l’Australia sia salita alla sesta piazza, con un indice pari a 4,12 punti percentuali.

La Russia, invece, da un lato ha “perso” due posizioni nell’ambito della speciale graduatoria, passando dall’8° al 10° posto; dall’altro lato, la quota ad essa ascrivibile ha presentato un leggero incremento, dal 3,24% fatto segnare su scala annuale (nel 2014) al 3,36% rilevato nel primo trimestre del 2015.

Le statistiche del primo trimestre 2015

Quota di spam nel traffico di posta elettronica

Spam e phishing nel primo trimestre del 2015

Quote percentuali di spam rilevate nel traffico di posta elettronica –
Situazione relativa al periodo ottobre 2014 – marzo 2015

Nel primo trimestre del 2015 la quota relativa ai messaggi di spam presenti nei flussi di posta elettronica si è attestata su un valore medio pari al 59,2% del volume complessivo dei messaggi e-mail circolanti in Rete; tale significativo indice ha fatto registrare una sensibile diminuzione (- 6%) rispetto all’analogo valore rilevato nel trimestre precedente. Come evidenzia il grafico qui sopra riportato, nel corso del trimestre preso in esame la quota di spam è andata progressivamente diminuendo: l’indice percentuale più elevato è stato osservato nel mese di gennaio (61,86%); la quota di spam più contenuta è stata invece rilevata, all’interno dei flussi e-mail mondiali, nel successivo mese di marzo (56,17%).

Geografia delle fonti di spam

Spam e phishing nel primo trimestre del 2015

Geografia delle fonti di spam rilevate nel primo trimestre del 2015 – Graduatoria su scala mondiale

Nel primo trimestre del 2015 la leadership della speciale graduatoria relativa alla ripartizione geografica delle fonti di spam è andata ad appannaggio degli Stati Uniti: la quota percentuale attribuibile ai messaggi e-mail indesiderati distribuiti nelle caselle di posta elettronica degli utenti della Rete dagli spammer insediati entro i confini del territorio statunitense ha fatto registrare un valore pari al 14,5% del volume complessivo dello spam mondiale. La Russia, da parte sua, con una quota del 7,27% mantiene la seconda piazza del rating in questione, mentre sul terzo gradino del “podio” virtuale è andata ad insediarsi l’Ukraina.

Immediatamente alle spalle della “trojka” dei leader si sono poi posizionati, rispettivamente, Vietnam (4,82%), Cina (4,51%) e Germania (4,39%). In ultima posizione, nella TOP-10 da noi stilata, troviamo infine l’India, dal cui territorio, nel corso del primo trimestre dell’anno, è stato distribuito il 2,83% dello spam globale.

Dimensioni dei messaggi di spam

Spam e phishing nel primo trimestre del 2015

Dimensioni delle e-mail di spam – Quarto trimestre del 2014 e primo trimestre del 2015 a confronto

Il quadro relativo alla ripartizione delle e-mail di spam in base alle dimensioni delle stesse continua a mantenersi stabile. Al primo posto, come al solito, con un ampio margine percentuale troviamo i messaggi “spazzatura” aventi dimensioni estremamente contenute, sino a 2 kilobyte (73,99%), il cui utilizzo si rivela particolarmente vantaggioso, per gli spammer, nella conduzione di mailing di massa di notevoli proporzioni. Nel primo trimestre del 2015, ad ogni caso, la quota ascrivibile a tale genere di messaggi di spam ha fatto registrare una significativa diminuzione, pari a 3,28 punti percentuali.

Rileviamo, poi, come sia sensibilmente aumentata, nell’arco di tre mesi, la quota relativa ai messaggi di posta indesiderata con dimensioni comprese tra i 2 Kb ed i 5 Kb ( 16,00%). Al contempo, si è registrato un significativo decremento del numero delle e-mail di spam che si collocano nel range 5 – 10 Kb (- 2,28%); la loro quota si è in tal modo attestata su un valore pari al 2,20%. Per contro, è rimasto sostanzialmente invariato, rispetto al trimestre precedente, l’indice percentuale inerente ai messaggi e-mail indesiderati aventi dimensioni superiori ai 10 Kb.

Phishing

Nel primo trimestre del 2015, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 50.077.057 rilevamenti eseguiti grazie al sistema “Anti-phishing”. Si tratta, complessivamente, di 1 milione di rilevamenti in più rispetto all’analogo valore riscontrato relativamente al trimestre precedente.

Da alcuni trimestri a questa parte, la percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher viene osservata in Brasile. L’indice relativo al “paese-colosso” del continente sudamericano ha tuttavia fatto registrare, nel primo trimestre dell’anno in corso, un decremento quantificabile in 2,74 punti percentuali, e si è in tal modo attestato su un valore pari al 18,28%.

Spam e phishing nel primo trimestre del 2015

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al primo trimestre del 2015

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

  Paese % di utenti
1 Brasile 18,28
2 India 17,73
3 Cina 14,92
4 Kazakhstan 11,68
5 Russia 11,62
6 Emirati Arabi Uniti 11,61
7 Australia 11,18
8 Francia 10,93
9 Canada 10,66
10 Malaysia 10,40

Desideriamo sottolineare come si sia registrato un sensibile aumento della quota relativa agli utenti sottoposti ad attacco entro i confini del territorio dell’India (+ 1,8%). Per contro, gli indici percentuali inerenti a Russia (- 0,57%), Australia (- 2,22%) e Francia (- 2,78%) risultano significativamente diminuiti.

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Le statistiche relative agli obiettivi presi di mira dagli assalti dei phisher si basano sui rilevamenti eseguiti dal componente euristico implementato nel sistema “Anti-phishing”. Il componente euristico del sistema “Anti-phishing” entra in azione nel momento stesso in cui l’utente clicca su un link malevolo preposto a condurre verso una pagina di phishing, nel caso in cui le informazioni relative a tale pagina non risultino ancora presenti all’interno dei database appositamente allestiti da Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Il raggruppamento “Portali Internet globali”, con un indice pari al 25,66%, continua a detenere, anche nel 2015, la leadership tra le categorie maggiormente sottoposte ad attacco da parte dei phisher, nonostante nel terzo trimestre dello scorso anno si sia verificata una sensibile diminuzione della quota ascrivibile a tale specifica categoria. Ricordiamo, nella circostanza, che l’indice relativo ai portali Internet globali è comunque aumentato di soli 0,40 punti percentuali rispetto all’analogo valore per essi riscontrato nel quarto trimestre del 2014.

Spam e phishing nel primo trimestre del 2015

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing *
nel corso del primo trimestre del 2015

Nel primo trimestre del 2015 la quota relativa alla categoria “Negozi Internet” (9,68%) ha fatto registrare un aumento pari a 2,78 punti percentuali. L’indice ascrivibile al gruppo di organizzazioni facenti parte della categoria “Giochi online” (3,40%) presenta un lieve incremento (+ 0,54%); nonostante ciò tale raggruppamento ha ceduto la propria posizione in classifica alla categoria “Programmi di messaggistica istantanea” (3,92%), la cui quota è risultata cresciuta di 1,69 punti percentuali.

Nel trimestre qui analizzato abbiamo incluso nel nostro elenco la categoria “Società di logistica”. Sebbene per il momento la quota riconducibile a tale gruppo si limiti ad un valore pari allo 0,23%, in questi ultimi tempi l’indice in questione ha comunque evidenziato una leggera crescita (+ 0,04%), mentre la società DHL, facente parte di tale specifica categoria, rientra nel novero delle 100 organizzazioni più frequentemente attaccate dai phisher.

Spam e phishing nel primo trimestre del 2015

Ripartizione degli attacchi di phishing condotti nei confronti delle società di logistica –
Situazione relativa al primo trimestre del 2015

Tra le varie tipologie di messaggi fraudolenti da noi individuate, spicca la presenza delle e-mail di phishing attraverso le quali i malintenzionati propongono l’acquisto di un determinato prodotto che, a detta loro, sarà poi recapitato all’acquirente tramite una delle più note società di logistica. In caso di assenso da parte del “potenziale cliente” viene poi richiesta l’effettuazione del pagamento anticipato inerente alle operazioni di consegna della merce; nella circostanza, si forniscono falsi documenti di spedizione, provvisti del logo della società di logistica oggetto della campagna di phishing. Una volta ottenuto quanto desiderato, i truffatori spariscono rapidamente dalla circolazione.

Inoltre, le e-mail di phishing inviate a nome delle organizzazioni specializzate in attività di logistica contengono spesso allegati maligni. Tali messaggi di posta recano, di solito, notifiche e comunicazioni fasulle riguardanti la merce “consegnata”; per perfezionare le procedure di consegna, si invita quindi il destinatario dell’e-mail ad aprire il file allegato, che si rivelerà essere nocivo, oppure si cerca di indurre l’utente a giungere sul sito web malevolo appositamente allestito dai malfattori, dove la vittima dovrà inserire i propri dati personali. Quest’ultimo metodo viene utilizzato per la raccolta di indirizzi di posta elettronica attivi, così come di altre informazioni personali relative all’utente.

Spam e phishing nel primo trimestre del 2015

Esempio di e-mail di phishing inviata a nome della società FedEx

Spam e phishing nel primo trimestre del 2015

Esempio di pagina web di phishing allestita allo scopo di imitare
la pagina di accesso all’account DHL

Spam e phishing nel primo trimestre del 2015

Esempio di pagina web di phishing allestita allo scopo di imitare
la pagina di accesso all’account UPS

q2_spam_sp_25

Esempio di pagina web di phishing allestita allo scopo di imitare
la pagina di accesso all’account FedEx

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

La TOP-3 che riunisce i principali obiettivi degli assalti compiuti dai phisher, a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di malintenzionati della Rete, è rimasta invariata rispetto all’analoga graduatoria relativa all’ultimo trimestre del 2014.

  Organizzazione % di link di phishing
1 Facebook 10,97
2 Google 8,11
3 Yahoo! 5,21

In effetti, così come in precedenza, la “trojka” dei leader risulta composta da Facebook (+ 0,63%), Google (+ 1,51%) e Yahoo! (5,21%); evidenziamo, ad ogni caso, come la quota relativa agli attacchi di phishing compiuti nei confronti di Yahoo! continui a diminuire, seppur in maniera non troppo pronunciata (- 1,37%).

Conclusioni

Nel primo trimestre del 2015, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento di 6 punti percentuali rispetto all’analogo indice riscontrato nel trimestre precedente, attestandosi in tal modo su un valore medio pari al 59,2%. È inoltre di particolare interesse rilevare come la quota dello spam, all’interno dei flussi e-mail, sia progressivamente diminuita lungo tutto l’arco del trimestre qui preso in esame.

Nel periodo oggetto del presente report è stata individuata, in seno al traffico di spam, una notevole quantità di messaggi di posta contenenti allegati in formato Word ed Excel, i quali, a loro volta, recavano temibili virus macro. Nella circostanza, i malintenzionati hanno cercato di convincere in ogni modo i destinatari delle e-mail ad aprire gli allegati maligni, ovvero dei file nocivi mascherati sotto forma di documenti di vario genere, talvolta riconducibili anche alla sfera finanziaria. Spesso, i messaggi contraffatti in questione risultavano camuffati in veste di notifiche provenienti (in apparenza!) da note organizzazioni o celebri servizi online.

Il primo trimestre dell’anno ha in particolar modo evidenziato, nell’ambito dello spam, i risultati involontariamente prodotti dal programma New gTLD, varato già nel mese di gennaio del 2014, relativo alla registrazione di nuovi nomi di dominio di primo livello generici. Di fatto, ogni giorno vengono registrati nuovi domini, ma non sempre gli stessi sono poi utilizzati per scopi legittimi. Da parte nostra, prevediamo un’ulteriore crescita del numero dei nuovi domini di primo livello impiegati nell’ambito dei mailing di spam. È ugualmente verosimile un significativo aumento dei mailing provenienti dai nuovi domini, logicamente collegati, dal punto di vista tematico, ai prodotti e ai servizi reclamizzati nell’ambito di tali domini, sebbene una simile circostanza non debba essere necessariamente considerata un’effettiva tendenza.

Le prime tre posizioni della speciale graduatoria relativa alle fonti dello spam “globale” – riguardante i paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” – risultano occupate, rispettivamente, dalle seguenti nazioni: Stati Uniti (14,5%), Russia (7,27%) ed Ukraina (5,56%).

Nel periodo oggetto del presente report, la leadership della TOP-10 relativa ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica mondiale, è andata ad appannaggio del malware classificato con la denominazione di Trojan-Banker.Win32.ChePro.ink. A sua volta, la TOP-10 relativa alle famiglie di software malevoli maggiormente diffuse nel traffico e-mail globale risulta capeggiata dalla famiglia di downloader denominata Upatre; tali programmi malware vengono utilizzati per eseguire il download del temibile trojan bancario Dyre/Dyreza. La prima posizione del rating relativo ai paesi verso i quali sono state inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – risulta occupata dalla Gran Bretagna (7,85%).

Nel primo trimestre del 2015, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 50.077.057 rilevamenti eseguiti grazie al sistema “Anti-phishing”. La percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Brasile.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *