На прошлой неделе аналитики «Лаборатории Касперского» выпустили итоговый отчет по спаму и фишингу за 2020 год. В нем приводятся как абсолютные цифры по срабатыванию систем защиты от фишинга и детектированию вредоносных вложений, так и описание новых методов киберпреступников. Интерес представляет мутация традиционного «нигерийского спама». В ответ на пандемию в сообщениях о якобы смерти богатого родственника и миллионном наследстве появились отсылки к COVID-19. Но не только: судя по всему, на этот длящийся десятилетиями скам почти никто не реагирует, и появляются более сложные методы.
Вместо прямого предложения поучаствовать в дележке несуществующих богатств жертва получает просьбу отправить открытку маленькой девочке. Мошенничество происходит где-то глубоко в процессе переписки: такое ощущение, что спамеры узнали, что такое воронка продаж. Специалисты также отмечают диверсификацию вредоносных действий, ориентир на мобильных пользователей и мессенджеры. В одном случае мошенники предлагают не только поучаствовать в розыгрыше ценных призов, но и сообщить о псевдолотерее друзьям и знакомым. В другом для получения «коронавирусной компенсации» требуют установить вредоносное приложение на смартфон. Как обычно, наиболее продвинутое мошенничество замечено в потенциально более прибыльных атаках на корпоративную инфраструктуру.
Спамеры делают все возможное, чтобы создать правдоподобные копии реальной облачной инфраструктуры, начиная с подделок под веб-интерфейс корпоративной почты и заканчивая сервисами по передаче файлов, как на скриншоте выше. Среди других похожих на нормальные каналы в отчете приводятся голосовые сообщения, инвайты на встречу в Zoom и других сервисах телеконференций, уведомления от IT-отдела, симуляции автоответов с вредоносными вложениями. Наконец, есть пример креативной атаки на владельцев веб-сайтов: через форму обратной связи им приходит письмо с обвинением в краже рисунка или фотографии и ссылками-доказательствами (естественно, вредоносными). Высший пилотаж: мошенничество без вредоносных ссылок, когда пользователя просят позвонить в «техподдержку».
Если коротко, в прошлом году обычная спам-вакханалия получила оттенок COVID-истерии. Самое интересное, что это произошло на фоне снижения доли спама в общем почтовом трафике: в 2020-м она составила 50,37%, что на 6,14 процентных пункта ниже, чем в 2019 году. Скорее всего, это не спамеры стали хуже работать, а количество легитимных писем увеличилось в связи с массовым переходом на удаленную работу.
Произошли некоторые изменения в спам-географии: чаще всего мусорные письма отправляли в прошлом году из России (21,27% всех нежелательных сообщений), на втором месте оказалась Германия. В прошлом году лидерами по отправке спама были серверы, расположенные в США и Китае. Тройка лидеров — получателей спама: Испания, Германия и Россия.
Фишинговые ссылки были заблокированы у 13,21% пользователей продуктов «Лаборатории Касперского». Это среднее значение по миру, но в некоторых странах доля срабатываний выше: например, в Бразилии фишинг не дошел до 20% пользователей. В целом авторы отчета отмечают рост количества таргетированных атак через электронную почту, ориентированных на компании. Мы, получатели спама, представляем большую ценность, когда работаем, а не когда сидим дома. Правда, в 2020 году эти два состояния почти не отличались друг от друга.
Компания Microsoft принудительно удаляет Adobe Flash с компьютеров пользователей с помощью обновления Windows 10.
Патч для браузера Brave закрывает серьезную дыру в приватности: оказывается, до этого все запросы к доменам .onion через встроенный Tor-браузер утекали к провайдеру DNS-серверов.
Обнаружен первый (а затем и второй) образец вредоносного ПО для компьютеров Apple на базе процессора M1.
Инфраструктуру сервиса Letsencrypt серьезно переработали. Теперь она позволяет перевыпустить все сертификаты в течение суток. Это сделано на случай необходимости отзыва сертификатов из-за программных ошибок.
Аналитики Microsoft выпустили отчет об атаке SolarWinds на инфраструктуру компании. По их данным, организаторы смогли получить доступ к исходным кодам некоторых решений (в частности, Azure и Exchange). Доказательств, что инфраструктуру Microsoft использовали для атаки на клиентов, не обнаружилось.
Вместо прямого предложения поучаствовать в дележке несуществующих богатств жертва получает просьбу отправить открытку маленькой девочке. Мошенничество происходит где-то глубоко в процессе переписки: такое ощущение, что спамеры узнали, что такое воронка продаж. Специалисты также отмечают диверсификацию вредоносных действий, ориентир на мобильных пользователей и мессенджеры. В одном случае мошенники предлагают не только поучаствовать в розыгрыше ценных призов, но и сообщить о псевдолотерее друзьям и знакомым. В другом для получения «коронавирусной компенсации» требуют установить вредоносное приложение на смартфон. Как обычно, наиболее продвинутое мошенничество замечено в потенциально более прибыльных атаках на корпоративную инфраструктуру.
Спамеры делают все возможное, чтобы создать правдоподобные копии реальной облачной инфраструктуры, начиная с подделок под веб-интерфейс корпоративной почты и заканчивая сервисами по передаче файлов, как на скриншоте выше. Среди других похожих на нормальные каналы в отчете приводятся голосовые сообщения, инвайты на встречу в Zoom и других сервисах телеконференций, уведомления от IT-отдела, симуляции автоответов с вредоносными вложениями. Наконец, есть пример креативной атаки на владельцев веб-сайтов: через форму обратной связи им приходит письмо с обвинением в краже рисунка или фотографии и ссылками-доказательствами (естественно, вредоносными). Высший пилотаж: мошенничество без вредоносных ссылок, когда пользователя просят позвонить в «техподдержку».
Если коротко, в прошлом году обычная спам-вакханалия получила оттенок COVID-истерии. Самое интересное, что это произошло на фоне снижения доли спама в общем почтовом трафике: в 2020-м она составила 50,37%, что на 6,14 процентных пункта ниже, чем в 2019 году. Скорее всего, это не спамеры стали хуже работать, а количество легитимных писем увеличилось в связи с массовым переходом на удаленную работу.
Произошли некоторые изменения в спам-географии: чаще всего мусорные письма отправляли в прошлом году из России (21,27% всех нежелательных сообщений), на втором месте оказалась Германия. В прошлом году лидерами по отправке спама были серверы, расположенные в США и Китае. Тройка лидеров — получателей спама: Испания, Германия и Россия.
Фишинговые ссылки были заблокированы у 13,21% пользователей продуктов «Лаборатории Касперского». Это среднее значение по миру, но в некоторых странах доля срабатываний выше: например, в Бразилии фишинг не дошел до 20% пользователей. В целом авторы отчета отмечают рост количества таргетированных атак через электронную почту, ориентированных на компании. Мы, получатели спама, представляем большую ценность, когда работаем, а не когда сидим дома. Правда, в 2020 году эти два состояния почти не отличались друг от друга.
Что еще произошло
Компания Microsoft принудительно удаляет Adobe Flash с компьютеров пользователей с помощью обновления Windows 10.
Патч для браузера Brave закрывает серьезную дыру в приватности: оказывается, до этого все запросы к доменам .onion через встроенный Tor-браузер утекали к провайдеру DNS-серверов.
Обнаружен первый (а затем и второй) образец вредоносного ПО для компьютеров Apple на базе процессора M1.
Инфраструктуру сервиса Letsencrypt серьезно переработали. Теперь она позволяет перевыпустить все сертификаты в течение суток. Это сделано на случай необходимости отзыва сертификатов из-за программных ошибок.
Аналитики Microsoft выпустили отчет об атаке SolarWinds на инфраструктуру компании. По их данным, организаторы смогли получить доступ к исходным кодам некоторых решений (в частности, Azure и Exchange). Доказательств, что инфраструктуру Microsoft использовали для атаки на клиентов, не обнаружилось.
