Kaspersky Lab ha pubblicato il suo consueto Spam Report in cui analizza in cui analizza il traffico spam circolante e le principali tecniche adottate dagli spammer nel 3° Trimestre del 2009
Principali considerazioni:
1. Nel terzo trimestre la quota di spam nel traffico di posta elettronica ha avuto un valore medio dell’ 85,7%.
2. La quota dei messaggi di phishing ha registrato un incremento dello 0,5% ed è stata pertanto pari allo 0,99% del volume complessivo del traffico di posta elettronica.
3. La quota dei messaggi e-mail contenenti allegati maligni ha fatto riscontrare un valore medio pari allo 0,46% del volume totale del traffico di posta elettronica (1,22% nel mese di settembre).
4. La quota di spam relativa alle categorie tematiche legate al mondo dell’economia reale ha fatto segnare un sostanziale incremento, mentre la quota attribuibile alle attività di autopubblicità condotte dagli spammer ha manifestato un’evidente tendenza al ribasso.
5. Per eludere i filtri antispam, gli spammer hanno continuato a far uso di tabelle html e di spam grafico.
Ripartizione delle quote di spam
Nel terzo trimestre la quota di spam nel traffico di posta elettronica ha avuto un valore medio dell’ 85,7%. In estate, come da tradizione, la quantità di spam rilevata si è attestata su valori leggermente inferiori rispetto a quelli riscontrati abitualmente, mentre nel corso del mese di Settembre essa ha fatto segnare un significativo incremento delle quote percentuali. Ciò, tuttavia, non è indice di una generale tendenza al rialzo per ciò che riguarda le quote di spam presenti nel traffico di posta elettronica; il sensibile aumento verificatosi in Settembre riguardo a tali indici è difatti strettamente connesso alla fine del periodo vacanziero.
Quote di spam nel traffico di posta elettronica rilevate nel terzo trimestre del 2009
L’indice più basso di spam è stato osservato l’ 1° agosto, con un valore pari al 76,3%. E’ stato questo l’unico giorno, nel corso dei tre mesi presi in esame, in cui il livello dello spam presente nei messaggi e-mail sia sceso al di sotto della fatidica soglia dell’80%. L’indice più elevato in assoluto è stato invece riscontrato il 27 settembre, con un picco del 91,3%.
Phishing
Nel terzo trimestre del 2009, la quota percentuale di messaggi e-mail contenenti link a siti di phishing è stata pari circa all’1% (0,99%) del volume complessivo del traffico di posta elettronica. Rispetto al secondo trimestre (0,49%), la loro quota nel traffico di posta è quindi in sostanza raddoppiata.
Così come nei periodi da noi precedentemente analizzati, sono stati in particolar modo sottoposti ad attacchi di phishing sia PayPal, il noto sistema di pagamento, che eBay, il celebre portale delle aste on-line. Soltanto nel mese di Agosto, le due suddette organizzazioni hanno temporaneamente abbandonato la scomoda posizione di leader in questa speciale classifica.
Nel diagramma sopra riportato risulta ben evidente come nel mese di Agosto la quota degli attacchi di phishing condotti nei confronti di PayPal ed eBay sia notevolmente diminuita. Nello stesso periodo, si sono invece sensibilmente intensificati gli attacchi portati ai danni di istituti bancari di primaria importanza. In tal modo, la quota percentuale relativa ai tentativi di phishing perpetrati nei confronti della banca Chase, valore che di solito non supera il 2%, è considerevolmente accresciuta, fino a raggiungere un indice pari al 30,6%.
Un simile «exploit» è stato ugualmente segnato da altri istituti bancari: nel mese di agosto, la quota percentuale degli attacchi condotti nei confronti di Bank of America è stata del 19% (contro una quota abituale del 3-5%).
Rispetto a quanto avvenuto nei periodi precedenti, è stato altresì registrato un significativo aumento del numero di tentativi di phishing portati ai danni di Ally Bank, pari ad una quota percentuale dell’ 11,08%, molto superiore al consueto 1-2%. Da tale analisi si deduce quindi che, sebbene PayPal ed eBay continuino tuttora a rappresentare i bersagli preferiti dai phisher, sono periodicamente proprio gli istituti di credito a divenire l’oggetto prediletto delle losche mire dei malintenzionati. La banca Chase, in effetti, è stata presa di mira da un analogo attacco, di proporzioni così massicce, all’incirca un anno fa.
Tra le principali novità in tema di phishing, citiamo quei messaggi in cui, in luogo dei consueti link a siti contraffatti, viene indicato un numero telefonico, al quale l’utente destinatario del messaggio di spam dovrebbe telefonare per ottenere l’accesso al proprio «conto bancario».
In altri messaggi è stato utilizzato uno degli approcci più classici finora rilevati nei messaggi di phishing; in essi, difatti, si comunicava che entro un breve lasso di tempo l’account dell’utente sarebbe stato bloccato. Nella fattispecie, si trattava dell’account relativo ad una farmacia on-line e non, come più comunemente avviene, dell’account riguardante una posizione bancaria od un server di posta elettronica.
La disattivazione di tale account avrebbe avuto quale ipotetica conseguenza, per l’utente, la privazione della possibilità di acquistare farmaci senza ricetta medica. Al fine di evitare tutto questo si raccomandava, in tali messaggi, di piazzare urgentemente un ordine nel suddetto sito, preposto alla vendita di prodotti medicinali.
Naturalmente, gli utenti destinatari di tali messaggi non disponevano certo degli account citati nelle suddette e-mail; nella circostanza, gli spammer contavano semplicemente sul fatto di poter suscitare il più vivo interesse da parte degli utenti riguardo alla possibilità di acquistare farmaci senza dover necessariamente ricorrere alla ricetta del medico.
Messaggi contenenti allegati maligni
Nel terzo trimestre del 2009, contemporaneamente all’intensificarsi del fenomeno degli attacchi di phishing, abbiamo assistito ad una sensibile crescita della quota percentuale di messaggi contenenti allegati maligni. La quota di tali e-mail ha fatto riscontrare un valore medio pari allo 0,46% del volume complessivo del traffico di posta elettronica, ovverosia un indice superiore dello 0,29% rispetto ai valori osservati nello scorso trimestre.
Il principale contributo per raggiungere un livello talmente elevato di programmi maligni presenti nello spam è stato fornito dal mese di Settembre. In effetti, la quota percentuale relativa ai messaggi contenenti allegati nocivi ha raggiunto in Settembre valori insolitamente elevati, fino ad attestarsi all’ 1,22%. Per contro, negli scorsi mesi di luglio ed agosto, tali indici si erano mostrati non troppo accentuati (rispettivamente 0,11% e 0,05%).
Se nei primi due mesi del trimestre preso in esame i programmi malware maggiormente in auge presso gli spammer si sono rivelati essere Email-Worm.Win32.NetSky, Net-Worm.Win32.Mytob e Backdoor.Win32.Bredolab (2 worm ed un Trojan, i cui principali scopi erano costituiti dalla raccolta di indirizzi e dall’inserimento del computer vittima del contagio nell’ambito di una rete zombie), a Settembre, invece, sono assurti al ruolo di leader della nostra speciale classifica i Trojan-Downloader riconducibili alla famiglia FraudLoad (48,6% del volume complessivo dei messaggi e-mail contenenti allegati maligni).
Tali downloader hanno per scopo quello di generare il download e la successiva installazione, nel computer infettato, di un programma maligno o di un adware. I Trojan della famiglia FraudLoad sono preposti a far sì che sul computer rimasto vittima del contagio venga installato un falso antivirus, tipologia di malware attualmente molto in voga. Tali software malevoli provocano la comparsa di avvisi fasulli sugli schermi degli utenti; in sostanza, essi danno comunicazione di minacce in realtà inesistenti per il sistema, proponendo il pagamento di una certa cifra al fine di poter eliminare il «malware rilevato». Per di più, di regola, si rivela poi piuttosto complesso rimuovere i falsi antivirus dai computer in cui si sono annidati.
La maggior parte dei messaggi recanti programmi maligni sono stati mascherati in guisa di comunicazioni ufficiali inviate agli utenti da parte di organizzazioni di primaria importanza, quali celebri società di spedizione (in particolar modo DHL ed UPS) o famose aziende di servizi finanziari, specializzate nel trasferimento di somme di denaro su scala internazionale (nella maggior parte dei casi Western Union).
In questi messaggi si comunicava al destinatario, ad esempio, che non si era potuto provvedere all’effettuazione della consegna del pacco da quest’ultimo spedito (oppure che egli aveva ricevuto, a proprio nome, un consistente trasferimento di denaro); venivano poi allegati al messaggio contraffatto una falsa ricevuta di spedizione, od un fantomatico numero di controlli per l’esecuzione del trasferimento di denaro. In realtà, il file subdolamente allegato al messaggio si rivelava poi sempre contenere un programma nocivo.
Allo stesso modo, i cybercriminali si sono avvalsi dell’enorme popolarità ormai acquisita dai social network. Uno dei messaggi di spam più diffusi riproduceva, ad esempio, le sembianze di un apparente invito ufficiale per entrare a far parte del novero degli utenti di Twitter, rete sociale tra le più celebri:
Geografia delle fonti di spam
La nostra speciale classifica trimestrale dedicata alla geografia delle fonti di spam presenta una struttura alquanto tradizionale: il primo posto è ad appannaggio degli USA, mentre il Brasile si colloca in seconda posizione; nell’ambito della Top-10 rileviamo poi la presenza, come in passato, di vari paesi dell’Estremo Oriente e dell’Europa Orientale.
Tuttavia, nel corso del trimestre preso in esame, la quota percentuale di spam che riguarda alcuni paesi, ha assunto tratti di notevole variabilità. Così nel mese di Agosto, ad esempio, la quota di spam inviato dagli Stati Uniti è drasticamente diminuita. Nello stesso periodo, invece, la percentuale relativa ai messaggi di spam inviati dalla Polonia ha subito una brusca impennata verso l’alto.
Tipologie e dimensioni dei messaggi di spam
Ripartizione dei messaggi di spam in base alle loro dimensioni
Rispetto al primo semestre dell’anno, si riscontra una diminuzione della quantità di messaggi di spam aventi dimensioni estremamente contenute (inferiori ai 5 Kb). Nel terzo trimestre, l’indice ad essi relativo si è attestato al 47,2% del volume complessivo di messaggi spam, con un decremento del 10,7% rispetto al valore medio fatto registrare nel corso del primo semestre.
Il numero dei messaggi le cui dimensioni sono comprese tra i 5 ed i 10 Кb, e tra i 10 ed i 20 Kb, è invece leggermente aumentato. Nel terzo trimestre la quota percentuale dei messaggi e-mail elaborati in formato html ha segnato un incremento dell’ 8,2% rispetto al valore medio fatto registrare nel primo semestre.
Ripartizione dei messaggi di spam in base ai loro formati
Si è in questo modo assistito ad una diminuzione del numero di messaggi brevi in formato plein text, dall’altro si è prodotto un consistente incremento dei messaggi elaborati in formato html, anche se di breve composizione. Ciò è indice del fatto che gli spammer prendono sempre maggior cura dell’aspetto dei messaggi da loro redatti. Il formato html consente inoltre di celare con maggior efficacia, agli occhi degli utenti più inesperti, l’URL effettivo al quale poi in realtà conduce il link inserito dagli spammer all’interno del messaggio.
Metodi e trucchi adottati dagli spammer
Nel corso del terzo trimestre, al fine di eludere i filtri antispam, gli spammer si sono avvalsi di metodi già ampiamente noti, quali tabelle html e spam grafico. Occorre subito rilevare come, rispetto ad un tempo, gli indirizzi ed i numeri di telefono attualmente inseriti nei messaggi sotto forma di tabella si leggano con maggiore facilità, abbiano assunto un aspetto decisamente più accurato e presentino proporzioni più adeguate rispetto al formato del messaggio.
Ricordiamo che, nei primi tempi in cui questo metodo ha fatto la propria comparsa nello spam, capitava spesso di imbattersi in cifre (relative a numeri di telefono) e lettere di enormi dimensioni, davvero esagerate, le quali suscitavano subito una pessima impressione ed una buona dose di ilarità nel destinatario dell’e-mail. Per «dipingere» le celle che compongono le tabelle, mentre prima si limitavano ad utilizzare esclusivamente il nero, gli spammer hanno adesso iniziato a far ricorso anche ad altri colori.
Nell’esempio sotto riportato, la scritta «Replica Watches binnew.com» è in realtà costituita da una tabella html composta da una moltitudine di celle, parte delle quali sono di vari colori..jpg)
Per ciò che riguarda lo spam grafico, possiamo ben dire che i suoi creatori continuino a condurre tutta una serie di sperimentazioni. Se in precedenza, all’interno dei messaggi, era abbastanza comune riscontrare la presenza di immagini che recavano righe di testo inclinate in varie direzioni, adesso il testo assume un andamento addirittura «ondeggiante», oppure le lettere presenti in una stessa riga vengono poste su vari livelli.
.jpg)
Gli spammer hanno ugualmente fatto ricorso ad un vecchio trucco, quello di «imbrattare» i link ipertestuali. Così, ad esempio, abbiamo rilevato come in un messaggio di spam fossero state aggiunte (in maniera casuale) alcune cifre sui link presenti; al destinatario dell’e-mail poi si richiedeva di procedere a rimuovere dall’indirizzo i caratteri superflui.
Messaggi di questo genere possono di certo costituire un evidente problema per i filtri antispam; essi presentano tuttavia una sostanziale mancanza: l’utente è in effetti chiamato a dover ricomporre l’indirizzo sull’apposita finestra del browser, anziché a cliccare semplicemente sull’hyperlink oppure a copiare l’URL da inserire nel browser. In alcuni casi, poi, si richiede addirittura di rimuovere non tutte le cifre, ma solo alcune di esse. E’ evidente che solo un utente estremamente zelante o pignolo potrebbe scegliere di farsi carico di tutte queste operazioni.
Categorie tematiche dello spam
Per ciò che riguarda la ripartizione tematica dello spam in seno all’Internet russa? nel corso del terzo trimestre del 2009, rileviamo uno scenario del tutto diverso rispetto a quanto era stato riscontrato nel primo semestre dell’anno. In effetti, le quote percentuali relative alle categorie tematiche che ad inizio anno avevano segnato un’evidente tendenza al ribasso, nel corso del terzo trimestre hanno fatto registrare sensibili incrementi, superando addirittura gli indici rilevati nell’anno precedente:.jpg)
Quote percentuali relative alla categoria tematica «Istruzione» complessivamente rilevate nel flusso di spam
.jpg)
Quote percentuali relative alla categoria tematica «Viaggi e vacanze» complessivamente rilevate nel flusso di spam
A quanto pare, le società specializzate nella conduzione di seminari e corsi di formazione, così come le piccole agenzie turistiche che ricorrono alle campagne di spam per pubblicizzare la propria attività, hanno indubbiamente risentito dei risvolti negativi prodotti dalla crisi finanziaria globale. Adesso, con il progressivo miglioramento della situazione economica, esse hanno di nuovo intensificato la loro attività.
Allo stesso tempo, la categoria tematica « Pubblicità servizi di spam», le cui quote percentuali erano sensibilmente e bruscamente aumentate durante il periodo più acuto della crisi, ha visto ridursi considerevolmente i propri volumi:.jpg)
Quote percentuali relative alla categoria tematica «Pubblicità servizi di spam» complessivamente rilevate nel flusso di spam
È evidente come la diminuzione della quota percentuale relativa all’autopubblicità condotta dagli spammer sia strettamente connessa, in maniera inversamente proporzionale, all’aumento del numero degli ordini da questi ultimi ricevuti per la conduzione di campagne di spam. Se prima gli spammer, in ragione di un’evidente contrazione a livello di ordini ricevuti, si erano in qualche modo visti costretti ad incrementare i volumi relativi alla pubblicità dedicata ai loro servizi, adesso, la necessità di ricorrere ad iniziative di questo genere pare sia in parte venuta meno.
L’attenuarsi della crisi economica sembra pertanto avere riflessi diretti sulla ripartizione tematica dello spam; osservando il quadro relativo alla distribuzione delle categorie tematiche dello spam risulta così possibile determinare in che misura i vari settori dell’economia stiano uscendo dal periodo di forte crisi.
«Droghe» con onde sonore
Nel corso dell’anno abbiamo più volte fatto riferimento a quei messaggi di spam volti ad istigare in vari modi il destinatario affinché egli invii un messaggio SMS ad un costoso numero a pagamento. Le elevate somme da sborsare per l’invio di questi SMS costituiscono ovviamente, di riflesso, una comoda fonte di guadagno per gli spammer o per i loro committenti.
Al fine di convincere l’utente a procedere all’invio del messaggio, gli spammer utilizzano vari pretesti (avvertimenti riguardo al possibile blocco di un account, proposte di acquisto di servizi che in realtà non saranno mai erogati, richieste di pagamento per poter accedere alle pagine web di un determinato sito, etc.).
In questo terzo trimestre dell’anno ha fatto la sua apparizione un ulteriore trucco adottato dagli spammer; questi ultimi di fatto sono andati proponendo ai destinatari dei loro messaggi il pagamento di una certa cifra, mediante l’invio di SMS, per poter accedere a certi «miracolosi» file audio, l’ascolto dei quali avrebbe prodotto effetti paragonabili a quelli derivanti dall’assunzione di droghe di vario tipo.
Negli ultimi tempi, attraverso Internet, si sono comunque ampiamente diffuse informazioni relative al fatto che tali file non sono in realtà in grado di esercitare alcun effetto specifico sull’organismo umano; conseguentemente, la quantità di spam generata sul web dall’offerta di tali «droghe» ad onde sonore si è andata immediatamente affievolendo. Come in altri casi, anche questo tipo di frode è risultato ben efficace finché non si è giunti a smascherarlo.
Conclusioni e previsioni per il futuro
I volumi di spam rilevati al terzo trimestre dell’anno, corrispondono in sostanza alle aspettative; una relativa calma estiva ha ceduto il passo alla consueta crescita autunnale.
Così come era lecito presupporre, la situazione generale a livello di spam sembra essere un diretto riflesso della situazione economica. La recessione iniziata un anno fa ha avuto come conseguenza una diminuzione del numero delle campagne di spam volte a pubblicizzare prodotti e servizi. Attualmente , in un periodo di graduale affievolimento della crisi, la diffusione di questa tipologia di spam sta nuovamente crescendo.
Al tempo stesso, “l’autopubblicità” condotta dagli spammer riguardo all’offerta dei propri servizi sta progressivamente tornando ai livelli fatti registrare prima dell’avvento della crisi. Ciò è indice inequivocabile del fatto che, attualmente, gli spammer hanno un numero di clienti-committenti più che sufficiente.
Le quote percentuali relative al phishing ed ai messaggi recanti allegati maligni hanno segnato sostanziali incrementi. In genere, una brusca impennata dei valori registrati, derivante dall’effettuazione di un singolo attacco di massa condotto tramite l’invio di messaggi volti a truffare i destinatari, è caratterizzata da una durata assai limitata nel tempo. In ogni caso, gli utenti debbono sempre tenere alto il livello di attenzione: se la fonte del messaggio e-mail non è nota bisogna assolutamente evitare di cliccare sui link in esso riportati.
La massima attenzione deve, inoltre, i file che si trovano in allegato ai messaggi. Considerando che gli spammer sono soliti far uso sapiente di vari metodi di ingegneria sociale, non è neppure da escludere che in futuro questi messaggi possano essere addirittura mascherati in guisa di comunicazioni provenienti da amici e conoscenti, oppure che vengano inviati facendo ricorso ad account violati.
