Skip to content

Instantly share code, notes, and snippets.

@sedovolosiy
Created August 11, 2016 07:45
Show Gist options
  • Save sedovolosiy/62ab0a16744ec0db5fb8057da1584e5f to your computer and use it in GitHub Desktop.
Save sedovolosiy/62ab0a16744ec0db5fb8057da1584e5f to your computer and use it in GitHub Desktop.
{
"status": "ok",
"count": 2,
"count_total": 6984,
"pages": 3492,
"posts": [
{
"id": 28614,
"type": "post",
"slug": "the-rio-olympics-scammers-already-competing",
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/blog/phishing-blog/28614/the-rio-olympics-scammers-already-competing/",
"status": "publish",
"title": "Олимпиада в Рио-де-Жанейро: мошенники уже участвуют",
"title_plain": "Олимпиада в Рио-де-Жанейро: мошенники уже участвуют",
"content": "<p>Еще несколько лет назад спамеров и мошенников не так интересовали Олимпийские игры, как, например, футбольные турниры (Чемпионат мира и Чемпионат Европы). Первый существенный рост количества спам-сообщений, посвященных Олимпиаде, мы наблюдали в преддверии зимних игр в Сочи в 2014 году. С тех пор внимание к играм со стороны различных киберпреступников не ослабевало, не стали исключением и предстоящие летние соревнования в Бразилии. </p>\n<p>Еще в 2015 году, за год до начала Олимпийских игр в Рио-де-Жанейро, мы зафиксировали фальшивые уведомления о выигрыше в лотерею, якобы организованную правительством страны и Олимпийским комитетом в честь игр. Подобные письма продолжают рассылаться и в 2016 году. В подавляющем большинстве таких сообщений содержится вложение в формате DOC или PDF, а в самом теле сообщения наличествует лишь краткий текст с просьбой открыть это вложение. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1.png\" rel=\"attachment wp-att-28616\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"973\" height=\"543\" class=\"aligncenter size-full wp-image-28616\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1.png 973w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1-300x167.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1-768x429.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1-270x150.png 270w\" sizes=\"(max-width: 973px) 100vw, 973px\" /></a></p>\n<p>В названии DOC-файла, в имени отправителя и в теме письма часто упоминаются Олимпийские игры.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_2.png\" rel=\"attachment wp-att-28617\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_2.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"634\" height=\"331\" class=\"aligncenter size-full wp-image-28617\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_2.png 634w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_2-300x157.png 300w\" sizes=\"(max-width: 634px) 100vw, 634px\" /></a></p>\n<p>Смысловое содержание таких вложений стандартное: лотерея была проведена официальной организацией, адрес получателя был случайно выбран из большого количества электронных адресов, а для получения выигрыша необходимо ответить на письмо и предоставить необходимую персональную информацию.</p>\n<p>Встречались нам и сообщения без вложений, весь написанный мошенниками текст приводился в теле письма. </p>\n<p>Английский язык, несомненно, является наиболее популярным в мошеннических письмах, посвящённых Олимпиаде, однако нам встречались сообщения и на других языках, например, португальском. В них спамеры использовали все ту же легенду о розыгрыше лотереи и пытались убедить получателя в достоверности письма.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3.png\" rel=\"attachment wp-att-28618\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3-1024x597.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"352\" class=\"aligncenter size-large wp-image-28618\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3-1024x597.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3-300x175.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3-768x448.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3.png 1469w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Кроме мошеннического спама, мы регистрируем и рекламные незапрошенные сообщения, содержащие предложения различных товаров и услуг и так или иначе использующие Олимпийские Игры для привлечения внимания получателя.</p>\n<p>Например, спамеры предлагали современные телевизоры для просмотра спортивных соревнований.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_4.png\" rel=\"attachment wp-att-28619\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_4.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"916\" height=\"401\" class=\"aligncenter size-full wp-image-28619\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_4.png 916w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_4-300x131.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_4-768x336.png 768w\" sizes=\"(max-width: 916px) 100vw, 916px\" /></a></p>\n<p>Или же обещали с помощью волшебных пилюль сделать получателя письма «чемпионом Олимпиады».</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5.png\" rel=\"attachment wp-att-28620\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5-1024x463.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"273\" class=\"aligncenter size-large wp-image-28620\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5-1024x463.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5-300x136.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5-768x347.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5.png 1249w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Стоит принять одно из таких писем всерьез и начать переписку с отправителем, как ваши шансы лишиться некоторой суммы денег резко возрастут. Но сильнее прочего по кошельку и чувствам любителей спорта могут ударить поддельные сервисы продажи билетов. Мы постоянно десятками блокируем свежезарегестрированые домены, содержащие в названии слова «rio», «rio2016» и подобные. На каждом из этих доменов размещались качественно сделанные подделки под официальные сервисы продажи билетов на спортивные события Олимпиады 2016 в Рио-де-Жанейро. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6.png\" rel=\"attachment wp-att-28621\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6-1024x519.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"306\" class=\"aligncenter size-large wp-image-28621\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6-1024x519.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6-300x152.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6-768x389.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6.png 1135w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Мошенники специально регистрируют такие домены, чтобы добавить своим сайтам убедительности, с той же целью они часто покупают самые дешевые и простые сертификаты SSL. Подобные сертификаты регистрируются за несколько минут, причем центры сертификации не проверяют юридическое существование организации, которой выдается сертификат. Этот тип сертификатов просто обеспечивает передачу данных по защищенному протоколу для данного домена и, самое главное, даёт желанную для мошенников «https» в начале адресной строки. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7.png\" rel=\"attachment wp-att-28622\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7-1024x594.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"350\" class=\"aligncenter size-large wp-image-28622\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7-1024x594.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7-300x174.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7-768x445.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7.png 1470w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Если исследовать whois-данные таких доменов, то окажется, что все они зарегистрированы недавно, на короткий срок (обычно на год) и на частных лиц. Причем детальная информация часто скрыта, а хостинг-провайдер может находиться где угодно, от стран Латинской Америки до России. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8.png\" rel=\"attachment wp-att-28623\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8-1024x627.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"370\" class=\"aligncenter size-large wp-image-28623\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8-1024x627.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8-300x184.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8-768x470.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8.png 1374w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Сайты нужны для осуществления простой мошеннической схемы: фишеры запрашивают всю информацию по банковской карте, якобы для оплаты билетов, а затем используют ее для кражи денежных средств с банковского счета жертвы. Для того, чтобы на какое-то время усыпить бдительность покупателя, мошенники уверяют его, что бронь оплачена и принята, а билеты ему будут отправлены за две-три недели до мероприятия. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9.png\" rel=\"attachment wp-att-28624\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9-1024x405.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"239\" class=\"aligncenter size-large wp-image-28624\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9-1024x405.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9-300x119.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9-768x304.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9.png 1185w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>В итоге получается, что мошенники, помимо ограбления, еще и лишают любителей спорта шанса побывать на Олимпиаде, ведь не получив билеты за семь дней до глобального мероприятия, сложно будет достать другие. Особенно если на банковском счету уже нет денег.</p>\n<p>По нашей информации созданием таких поддельных сайтов обычно занимаются международные группировки, каждая из которых выполняет свою часть работы. Одни создают веб-сайты, другие регистрируют домены, третьи собирают чужие персональные данные и продают их, четвертые выводят денежные средства. </p>\n<p>Для того, чтобы не попасть на уловку мошенников, любителям спорта следует быть бдительными и покупать билеты только на сайтах официальных реселлеров, какими бы низкими ценами не манили другие ресурсы. Кроме того, на <a href=\"http://www.rio2016.com/en/\">официальном сайте Олимпиады</a> можно найти список официальных продавцов билетов в вашем регионе и воспользоваться сервисом проверки сайтов продавцов на легитимность. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10.png\" rel=\"attachment wp-att-28625\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10-1024x728.png\" alt=\"Олимпиада в Рио-де-Жанейро: мошенники уже участвуют\" width=\"604\" height=\"429\" class=\"aligncenter size-large wp-image-28625\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10-1024x728.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10-300x213.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10-768x546.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10.png 1262w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Также мы настоятельно не рекомендуем покупать что-либо в магазинах, рекламируемых посредством спам-рассылок или рекламных баннеров, будь то билеты или сувенирная продукция, связанная с Олимпиадой. В лучшем случае вы получите несертифицированную продукцию сомнительного качества, в худшем – просто потеряете деньги. Тем, кто не может удержаться от спонтанных покупок, мы рекомендуем завести отдельные банковскую карту и счет с небольшой суммой денег, которые будут использоваться только для онлайн-расчетов. Это позволит избежать серьезных потерь даже в случае кражи банковской информации.</p>\n",
"excerpt": "Еще в 2015 году, за год до начала Олимпийских игр в Рио-де-Жанейро, мы зафиксировали фальшивые уведомления о выигрыше в лотерею, якобы организованную правительством страны и Олимпийским комитетом в честь игр. Подобные письма продолжают рассылаться и в 2016 году.",
"date": "2016-05-16 13:56:19",
"modified": "2016-05-16 13:56:19",
"categories": [
{
"id": 2,
"slug": "blog",
"title": "В постах",
"description": "",
"parent": 0,
"post_count": 5831
},
{
"id": 467,
"slug": "phishing-blog",
"title": "Фишинг",
"description": "",
"parent": 2,
"post_count": 12
}
],
"tags": [
{
"id": 7,
"slug": "rassy-lka-spama",
"title": "Рассылка спама",
"description": "",
"post_count": 277
},
{
"id": 16,
"slug": "tematicheskij-spam",
"title": "Тематический спам",
"description": "",
"post_count": 228
},
{
"id": 31,
"slug": "tehnologii-spamerov",
"title": "Технологии спамеров",
"description": "",
"post_count": 119
},
{
"id": 71,
"slug": "finansovoe-moshennichestvo-v-spame",
"title": "Финансовое мошенничество в спаме",
"description": "",
"post_count": 10
},
{
"id": 6,
"slug": "fishing",
"title": "Фишинг",
"description": "",
"post_count": 251
}
],
"author": {
"id": 300,
"slug": "tatyanashcherbakova",
"name": "Татьяна Щербакова",
"first_name": "Tatyana",
"last_name": "Shcherbakova",
"nickname": "tatyanashcherbakova",
"url": "",
"description": ""
},
"comments": [],
"attachments": [
{
"id": 28616,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_1.png",
"slug": "rio_olympics_ru_1",
"title": "rio_olympics_ru_1",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28617,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_2.png",
"slug": "rio_olympics_ru_2",
"title": "rio_olympics_ru_2",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28618,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_3.png",
"slug": "rio_olympics_ru_3",
"title": "rio_olympics_ru_3",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28619,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_4.png",
"slug": "rio_olympics_ru_4",
"title": "rio_olympics_ru_4",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28620,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_5.png",
"slug": "rio_olympics_ru_5",
"title": "rio_olympics_ru_5",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28621,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_6.png",
"slug": "rio_olympics_ru_6",
"title": "rio_olympics_ru_6",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28622,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_7.png",
"slug": "rio_olympics_ru_7",
"title": "rio_olympics_ru_7",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28623,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_8.png",
"slug": "rio_olympics_ru_8",
"title": "rio_olympics_ru_8",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28624,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_9.png",
"slug": "rio_olympics_ru_9",
"title": "rio_olympics_ru_9",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
},
{
"id": 28625,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/rio_olympics_ru_10.png",
"slug": "rio_olympics_ru_10",
"title": "rio_olympics_ru_10",
"description": "",
"caption": "",
"parent": 28614,
"mime_type": "image/png",
"images": []
}
],
"comment_count": 0,
"comment_status": "open",
"custom_fields": {
"securelist-show-toc": [
""
],
"twitterCardType": [
"summary"
],
"kss_ga_time": [
"1463472341"
],
"kss_ga_views": [
"26"
],
"kss_ga_trend": [
"0.00203873598369"
]
}
},
{
"id": 28561,
"type": "post",
"slug": "spam-and-phishing-in-q1-2016",
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/analysis/spam-quarterly/28561/spam-and-phishing-in-q1-2016/",
"status": "publish",
"title": "Спам и фишинг в первом квартале 2016",
"title_plain": "Спам и фишинг в первом квартале 2016",
"content": "<h2 id=\"spam-osobennosti-kvartala\">Спам: особенности квартала</h2>\n<h3 id=\"tendenciya-stremitelnoe-uvelichenie-kolichestva-vredonosnogo-spama\">Тенденция: стремительное увеличение количества вредоносного спама</h3>\n<p>В первом квартале 2016 года мы заметили резкое увеличение количества нежелательных писем с вредоносными вложениями. В течение последних двух лет количество срабатываний почтового антивируса у наших клиентов варьировалось в пределах от 3 до 6 млн. в месяц, затем в конце прошлого года это число начало расти, а в начале 2016 года произошел резкий скачок.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_1.png\" rel=\"attachment wp-att-28567\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_1-1024x451.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"266\" class=\"aligncenter size-large wp-image-28567\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_1-1024x451.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_1-300x132.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_1-768x338.png 768w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Количество срабатываний почтового компонента антивируса у клиентов «Лаборатории Касперского»</em></p>\n<p>В марте количество срабатываний достигло 22 890 956, что более чем в 4 раза превышает среднее месячное значение предыдущего года. </p>\n<p>Казалось бы, что с развитием drive-by-download вредоносные вложения давно должны были уступить место вредоносным сайтам, на которые пользователь заходит по ссылке из письма. Однако у использования писем есть свои преимущества (для злоумышленников), которые заключаются в том, что содержание писем мотивирует не только скачать вредоносный файл, но и запустить его. Возможно также, что новая волна популярности именно вредоносных вложений связана с тем, что в последние пару лет разработчики большинства популярных браузеров озаботились добавлением в свои продукты защиты от посещения зараженных и фишинговых сайтов (используя как собственные разработки, так и заключая партнерство с известными антивирусными вендорами), встроенная же защита на уровне почтовых клиентов еще не дошла до такого уровня. Поэтому, если потенциальная жертва не использует антивирусную программу, заразить ее машину через почту получается проще.</p>\n<h4 id=\"chto-vnutri\">Что внутри?</h4>\n<p>Разнообразие вложенных вредоносных файлов поражает. Это и классические исполняемые EXE-файлы, и офисные документы (DOC, DOCX, XLS, RTF) со встроенными вредоносными макросами, и программы, написанные на Java и Javascript (файлы JS, JAR, WSF, WRN и другие). </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_2.png\" rel=\"attachment wp-att-28568\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_2.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"457\" height=\"254\" class=\"aligncenter size-full wp-image-28568\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Во вложении находится троянец-загрузчик, написанный на Java</em></p>\n<p>Кроме того, можно отметить и разнообразие языков, на которых рассылался вредоносный спам. Помимо английского, нам часто встречались письма на русском, польском, немецком, французском, испанском, португальском и других языках.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_3.png\" rel=\"attachment wp-att-28569\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_3.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"452\" height=\"249\" class=\"aligncenter size-full wp-image-28569\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Во вложении находится банковский троянец Gozi</em></p>\n<p>Письма чаще всего представляли собой подделки либо под сообщения о неоплаченных счетах, либо под деловую переписку.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_4.png\" rel=\"attachment wp-att-28570\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_4.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"575\" height=\"294\" class=\"aligncenter size-full wp-image-28570\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_4.png 575w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_4-300x153.png 300w\" sizes=\"(max-width: 575px) 100vw, 575px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Вредоносный .doc файл во вложении – троянец-загрузчик. Используя макрос на Visual Basic, вредоносный файл скачивает и запускает <a href=\"https://securelist.ru/blog/issledovaniya/24070/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/\">шифровальщик Cryakl</a></em></p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5.png\" rel=\"attachment wp-att-28571\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"602\" height=\"606\" class=\"aligncenter size-full wp-image-28571\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5.png 602w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5-150x150.png 150w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5-298x300.png 298w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5-32x32.png 32w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5-64x64.png 64w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5-96x96.png 96w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_5-128x128.png 128w\" sizes=\"(max-width: 602px) 100vw, 602px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Во вложении находится зловред типа Backdoor, способный загружать на зараженную машину другие вредоносные программы</em></p>\n<p>Отдельное внимание хочется обратить на письма, содержащие троянцы-загрузчики, скачивающие <a href=\"https://securelist.ru/blog/issledovaniya/28473/petya-the-two-in-one-trojan/\">шифровальщик Locky</a>. Для заражения злоумышленники использовали различные типы файлов: сперва это были файлы .doc с вредоносными макросами, потом JS-скрипты. Для обхода фильтров злоумышленники в рамках одной рассылки делали каждый вредоносный файл уникальным. Кроме того, письма отличались различным содержанием и многообразием используемых языков. Что не удивительно, ведь атаки этого шифровальщика были зафиксированы KSN в 114 странах мира.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_6.png\" rel=\"attachment wp-att-28572\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_6-1024x493.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"291\" class=\"aligncenter size-large wp-image-28572\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_6-1024x493.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_6-300x144.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_6-768x369.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_6.png 1393w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Примеры писем с шифровальщиком Locky</em></p>\n<p>Содержание писем было связано с финансовыми документами и мотивировало пользователя открыть вложение.</p>\n<p>Если атака Locky проходила успешно, он зашифровывал на компьютере пользователя файлы с определенными расширениями (офисные документы, мультимедийный контент и некоторые другие) и выводил сообщение со ссылкой на сайт в сети Tor с требованиями злоумышленников. Мы подробно рассмотрели схему его работы <a href=\"https://securelist.ru/blog/issledovaniya/28337/locky-the-encryptor-taking-the-world-by-storm/\">в нашем блоге</a>.</p>\n<p>Так как Locky часто не содержится непосредственно в письме, мы не можем посчитать его долю среди других зловредов в почте. Однако скрипты, которые в частности загружают и запускают Locky (детектируются как Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent, HEUR:Trojan-Downloader.Script.Generic) составили более 50% всех вредоносных программ в почте. </p>\n<h3 id=\"spam-terrorizm\">Спам-терроризм</h3>\n<p>Терроризм сегодня является одной из наиболее обсуждаемых тем в СМИ и на встречах политических лидеров. Участившиеся теракты в странах Европы и Азии становятся главной угрозой для мирового сообщества, а тема терроризма активно используется злоумышленниками для обмана обеспокоенных пользователей. </p>\n<p>Во многих странах для предотвращения терактов были в срочном порядке повышены меры безопасности, чем и воспользовались спамеры, рассылающие вредоносное ПО. Получателя подобных рассылок пытались убедить, что присланное вложение содержит файл с информацией, при помощи которой любой обладатель мобильного телефона сможет обнаружить взрывное устройство до момента его взрыва. В письме подчеркивается, что данная технология была открыта Министерством Обороны США и является достаточно простой и доступной. Вложение в виде исполняемого EXE-файла детектировалось как Trojan-Dropper.Win32.Dapato – троянец, использующийся для кражи персональных данных, организации DDoS-атак, установки другого вредоносного ПО и др.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_7.png\" rel=\"attachment wp-att-28573\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_7-1024x334.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"197\" class=\"aligncenter size-large wp-image-28573\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_7-1024x334.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_7-300x98.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_7-768x251.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_7.png 1442w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>«Нигерийские» мошенники также не остались в стороне и использовали тему терроризма для создания своих относительно правдоподобных сюжетов. Авторы сообщений представлялись сотрудниками несуществующего подразделения ФБР, которые занимаются расследованием террористических и финансовых преступлений. Сюжет выдуманных историй сводился к тому, что пользователь пока не сможет получить причитающуюся ему крупную сумму денег, а для решения возникшей проблемы необходимо связаться с отправителем письма. В качестве причин задержки перевода денег «нигерийцы» называли, например, отсутствие подтверждения, что деньги являются легальными и по праву принадлежат получателю, а также действия третьих лиц в целях незаконного получения денежных средств получателя. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8.png\" rel=\"attachment wp-att-28574\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8-1024x679.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"401\" class=\"aligncenter size-large wp-image-28574\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8-1024x679.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8-300x199.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8-768x510.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8.png 1465w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Также в различных «нигерийских» письмах встречались упоминания, что денежные средства, часть которых предлагали получателю, получены законным путем и не имеют отношения к наркотикам, терроризму и другому криминалу. Таким способом мошенники старались предупредить возможные сомнения в своей честности, которые могли возникнуть у пользователя, и убедить его вступить в переписку.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9.png\" rel=\"attachment wp-att-28575\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9-1024x331.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"195\" class=\"aligncenter size-large wp-image-28575\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9-1024x331.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9-300x97.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9-768x248.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9.png 1489w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Тема терроризма использовалась мошенниками и в других историях, посвященных непосредственно ситуации на Ближнем Востоке. Так, некоторые письма были отправлены от имени солдат армии США, которые борются против терроризма на территории Афганистана и ищут посредника для сохранения и инвестирования денег. Другой автор сообщал, что он не вступал ни в ИГИЛ, ни в другую террористическую организацию, но является мусульманином и хочет пожертвовать часть имеющейся у него крупной суммы денег на благие дела. «Мусульманин» не доверяет благотворительным фондам, поэтому хочет передать деньги получателю письма. История другого письма рассказывается от имени американского бизнесмена, который из-за войны и терроризма потерял половину бизнеса на территории Сирии и Ирака и теперь ищет партнера, который поможет ему вложить оставшиеся деньги. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10.png\" rel=\"attachment wp-att-28576\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10-1024x739.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"436\" class=\"aligncenter size-large wp-image-28576\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10-1024x739.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10-300x217.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10-768x555.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10.png 1461w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>«Нигерийские» письма про напряженную обстановку в Сирии также не теряли своей популярности и активно использовались мошенниками для обмана пользователей. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11.png\" rel=\"attachment wp-att-28577\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11-1024x281.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"166\" class=\"aligncenter size-large wp-image-28577\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11-1024x281.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11-300x82.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11-768x211.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11.png 1481w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Встречался нам и рекламный спам от китайских фабрик и заводов, которые предлагали устройства для обеспечения общественной безопасности, в том числе для выявления взрывчатых веществ, и другую антитеррористическую продукцию.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_12.png\" rel=\"attachment wp-att-28578\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_12.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"976\" height=\"616\" class=\"aligncenter size-full wp-image-28578\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_12.png 976w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_12-300x189.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_12-768x485.png 768w\" sizes=\"(max-width: 976px) 100vw, 976px\" /></a></p>\n<p><b>Еще одна тенденция: значительное увеличение «нигерийского» спама</b></p>\n<p>Похоже, что экономический кризис не прошел и мимо «нигерийцев», так как в последнее время они сильно активизировались. По нашим наблюдениям в прошедшем квартале значительно увеличилось количество мошеннических писем этого вида. При этом, если раньше, мошенники пытались заставить жертву ответить на письмо при помощи длинной, убедительной и детальной истории, нередко в качестве доказательства приводя даже ссылки на статьи в различных известных СМИ, то теперь всё чаще они рассылают лишь короткое сообщение без каких-либо подробностей с предложением выйти на связь. Иногда в письме может указываться крупная сумма денег, о которой речь пойдет в дальнейшей переписке, но опять же без подробного описания, где она была обнаружена и кому принадлежала. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13.jpg\" rel=\"attachment wp-att-28579\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13.jpg\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"840\" height=\"852\" class=\"aligncenter size-full wp-image-28579\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13.jpg 840w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13-296x300.jpg 296w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13-768x779.jpg 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13-32x32.jpg 32w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13-64x64.jpg 64w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13-96x96.jpg 96w\" sizes=\"(max-width: 840px) 100vw, 840px\" /></a></p>\n<p>Вероятно, мошенники рассчитывают таким образом вовлечь в свою хитрую схему и осведомленных получателей, уже имеющих представление о классических «нигерийских» уловках, либо же такие короткие сообщения просто рассчитаны на занятых людей, совершенно не готовых тратить своё время на чтение слишком длинных писем от незнакомцев.</p>\n<h3 id=\"metody-i-tryuki-servisy-korotkix-ssylok-i-obfuskaciya\">Методы и трюки: сервисы коротких ссылок и обфускация</h3>\n<p>В отчете за 2015 год мы <a href=\"https://securelist.ru/analysis/ksb/27926/kaspersky-security-bulletin-spam-v-2015-godu/\">писали</a> про обфускацию доменов в спаме. В первом квартале 2016 года эта тенденция продолжилась и дополнилась новыми трюками.</p>\n<p>Злоумышленники продолжают использовать сервисы коротких ссылок, но методы их зашумления поменялись. </p>\n<p>Во-первых, спамеры стали вставлять символы между доменом сервиса коротких ссылок и финальной ссылкой – слеши, буквы и точки.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_14.png\" rel=\"attachment wp-att-28580\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_14.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"659\" height=\"847\" class=\"aligncenter size-full wp-image-28580\" /></a></p>\n<p>Причем обфусцируется и сама ссылка, по которой проходит пользователь, и ссылка подгружаемой картинки в письме:</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_15.png\" rel=\"attachment wp-att-28581\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_15.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"646\" height=\"150\" class=\"aligncenter size-full wp-image-28581\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_15.png 646w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_15-300x70.png 300w\" sizes=\"(max-width: 646px) 100vw, 646px\" /></a></p>\n<p>Помимо букв и точек спамеры вставляли между слешами даже случайные тэги-комментарии, и ссылки продолжали корректно интерпретироваться браузером:</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_16.png\" rel=\"attachment wp-att-28582\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_16.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"699\" height=\"853\" class=\"aligncenter size-full wp-image-28582\" /></a></p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_17.png\" rel=\"attachment wp-att-28583\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_17.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"638\" height=\"207\" class=\"aligncenter size-full wp-image-28583\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_17.png 638w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_17-300x97.png 300w\" sizes=\"(max-width: 638px) 100vw, 638px\" /></a></p>\n<p>Обращаем внимание на то, что в теме письма есть обращение Edward, оно же находится в зашумляющем тэге-комментарии. То есть имя берется из одной базы и зашумляющий тэг уникален для каждого письма в рассылке.</p>\n<p>В русскоязычном спаме также использовалась обфускация и сервисы коротких ссылок, но алгоритм был другим.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_18.png\" rel=\"attachment wp-att-28584\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_18.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"524\" height=\"390\" class=\"aligncenter size-full wp-image-28584\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_18.png 524w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_18-300x223.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_18-200x150.png 200w\" sizes=\"(max-width: 524px) 100vw, 524px\" /></a></p>\n<p>Так, в ссылках для зашумления использовался символ @. Напомним, @ перед доменом может использоваться для идентификации пользователя в домене (по факту сейчас уже не используется). Для сайтов, не требующих идентификации, все, что идет до @ просто будет проигнорировано браузером. То есть в письме, приведенном выше, браузер откроет сначала сайт ask.ru/go, на котором выполнит подзапрос «url=» и перейдет на указанный далее URL, принадлежащий сервису коротких ссылок. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_19.png\" rel=\"attachment wp-att-28585\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_19.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"324\" class=\"aligncenter size-full wp-image-28585\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_19.png 604w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_19-300x161.png 300w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Ссылка в этом письме тоже была зашумлена символом @. Кроме того, иногда она также была зашумлена дополнительными подзапросами, включающими почтовый адрес пользователя, что делало ссылку уникальной для каждого письма рассылки.</p>\n<h2 id=\"statistika\">Статистика</h2>\n<h3 id=\"dolya-spama-v-pochtovom-trafike\">Доля спама в почтовом трафике</h3>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20.png\" rel=\"attachment wp-att-28586\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20-1024x533.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"314\" class=\"aligncenter size-large wp-image-28586\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20-1024x533.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20-300x156.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20-768x400.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20.png 1244w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Доля спама в мировом почтовом трафике, первый квартал 2016 года</em></p>\n<p>Доля спама в почтовом трафике практически не менялась на протяжении последних месяцев 2015 года. Но в январе 2016 мы зафиксировали значительный рост доли нежелательной корреспонденции – более чем на 5п.п. Впрочем, уже в феврале уровень спама опустился до прежних значений, чтобы вновь подняться в марте, но уже не так заметно. Средняя доля спама в мировом почтовом трафике за первый квартал 2016 года составила 56,92%.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21.png\" rel=\"attachment wp-att-28587\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21-1024x533.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"314\" class=\"aligncenter size-large wp-image-28587\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21-1024x533.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21-300x156.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21-768x400.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21.png 1244w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Доля спама в российском почтовом трафике, четвертый квартал 2015 года и первый квартал 2016 года</em></p>\n<p>Ситуация со спамом в российском сегменте интернета заметно отличалась от общемировой. Доля нежелательной корреспонденции заметно выросла еще в ноябре 2015 года и держалась на уровне 64-65% до января 2016 года. В феврале, как и в случае с мировом трафиком, произошел спад с последующим небольшим подъемом в марте. Средняя доля спама в российском почтовом трафике за первый квартал 2016 года составила 61,93%.</p>\n<h3 id=\"strany-istochniki-spama\">Страны – источники спама</h3>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22.png\" rel=\"attachment wp-att-28588\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22-1024x780.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"460\" class=\"aligncenter size-large wp-image-28588\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22-1024x780.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22-300x229.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22-768x585.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22.png 1348w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Страны – источники спама в мире, первый квартал 2016 года</em></p>\n<p>США, занявшие в 2015 году первое место по количеству исходящего из страны спама, сохранили свое лидерство и в первом квартале 2016 года – доля страны составила 12,43%. Следом с заметным отрывом идут Вьетнам (10,30%) и Индия (6,19%). На четвертом месте расположилась Бразилия (5,48%), а замыкает первую пятерку Китай с показателем 5,09%.</p>\n<p>Россия, по итогам 2015 года занявшая 2-е место, в первом квартале 2016 спустилась на седьмую позицию (4,89%). Она совсем немного уступила Франции (4,90%), занявшей шестое место. </p>\n<h3 id=\"razmery-spamovyx-pisem\">Размеры спамовых писем</h3>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_23.png\" rel=\"attachment wp-att-28589\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_23.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"1017\" height=\"631\" class=\"aligncenter size-full wp-image-28589\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_23.png 1017w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_23-300x186.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_23-768x477.png 768w\" sizes=\"(max-width: 1017px) 100vw, 1017px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Размеры спамовых писем, четвертый квартал 2015 года и первый квартал 2016 года</em></p>\n<p>Традиционно, самыми рассылаемыми письмами в первом квартале 2016 года стали сообщения объемом до 2 Кб (81,86%), их доля выросла на 2,7 п.п. Также выросла доля писем объемом 20-50 Кб – с 3,02 до 7,67%. А вот количество писем объемом от 2 до 5 Кб, наоборот, значительно снизилось по сравнению с предыдущим кварталом – с 8,91 до 2,50%.</p>\n<h2 id=\"vredonosnye-vlozheniya-v-pochte\">Вредоносные вложения в почте</h2>\n<p>В настоящее время большинство вредоносных программ детектируются проактивно автоматическими средствами, что серьезно затрудняет сбор статистики по конкретным модификациям зловредов. Поэтому мы решили перейти на более информативную статистику по ТОР-10 вредоносных семейств.</p>\n<h3 id=\"tor-10-vredonosnyx-semejstv\">ТОР-10 вредоносных семейств</h3>\n<ol>\n<li>Trojan-Downloader.JS.Agent.</li>\n<p>Типичный представитель этого семейства представляет собой обфусцированный Java-скрипт. Сами зловреды используют технологию ADODB.Stream, которая позволяет им скачивать и запускать файлы DLL, EXE и PDF.</p>\n<li>Trojan-Downloader.VBS.Agent.</li>\n<p>Семейство VBS-скриптов. Как и в случае с семейством JS.Agent, занявшим первое место, зловреды используют технологию ADODB.Stream, но загружают преимущественно ZIP-архивы, извлекают из них и запускают другое вредоносное ПО.</p>\n<li>Trojan-Downloader.MSWord.Agent.</li>\n<p>Представитель этого семейства является DOC-файлом со встроенным макросом, написанным на Visual Basic for Applications (VBA). Макрос выполняется при открытии документа: скачивает с сайта злоумышленников другой вредоносный файл и запускает его на компьютере жертвы.</p>\n<li>Backdoor.Win32.Androm. Andromeda.</li>\n<p>Семейство универсальных модульных ботов Andromeda – Gamarue. Основные возможности таких ботов: скачивание, хранение и запуск вредоносного исполняемого файла; скачивание и загрузка вредоносной DLL (без сохранения на диск); обновление и удаление себя. Функциональность бота расширяется с помощью плагинов, которые подгружаются злоумышленниками в любое время.</p>\n<li>Trojan.Win32.Bayrob.</li>\n<p>Зловреды этого семейства троянцев могут скачивать с управляющего сервера и запускать дополнительные модули, а также работать как прокси-сервер. Используются для рассылки спама и кражи персональных данных.</p>\n<li>Trojan-Downloader.JS.Cryptoload.</li>\n<p>Типичный представитель этого семейства – это не что иное, как обфусцированный Java-скрипт. Зловреды этого семейства скачивают и запускают на компьютере пользователя программу-шифровальщик.</p>\n<li>Trojan-PSW.Win32.Fareit.</li>\n<p>Основной целью вредоносных программ этого семейства является похищение данных, например, учетных данных FTP-клиентов, установленных на зараженном компьютере, учетных данных программ для работы с облачными хранилищами, файлов cookie в браузерах, паролей почтовых программ. Собранную информацию троянцы Fareit отправляют на сервер злоумышленников. Некоторые представители семейства умеют загружать и запускать другие вредоносные программы.</p>\n<li>Trojan.Win32.Agent. </li>\n<p>Вредоносные программы этого семейства уничтожают, блокируют, изменяют или копируют данные, а также нарушают работу компьютеров или компьютерных сетей.</p>\n<li>Trojan-Downloader.Win32.Upatre.</li>\n<p>Размер троянцев этого семейства не превышает 3,5 Кб, а их функции ограничиваются скачиванием «полезной нагрузки» на зараженный компьютер – чаще всего это троянцы-банкеры семейства, известного как Dyre/Dyzap/Dyreza. Основной задачей банковских троянцев этого семейства является кража платежных данных пользователя.</p>\n<li>10. Trojan-Spy.HTML.Fraud.</li>\n<p>Семейство троянских программ, реализованных в виде поддельных HTML-страниц. Зловред рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д. На предложенной поддельной HTML-странице пользователь вводит свои конфиденциальные данные, после чего эта информация отправляется киберпреступника</p>\n</ol>\n<h3 id=\"strany-misheni-vredonosnyx-rassylok\">Страны — мишени вредоносных рассылок</h3>\n<p>В рейтинге стран, на территорию которых рассылается наибольшее количество вредоносного спама, произошли значительные изменения. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24.png\" rel=\"attachment wp-att-28590\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24-1024x767.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"452\" class=\"aligncenter size-large wp-image-28590\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24-1024x767.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24-300x225.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24-768x575.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24-200x150.png 200w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_24.png 1375w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Распределение срабатываний почтового антивируса по странам, первый квартал 2016 года</em></p>\n<p>Первое место, как и по итогам 2015 года, занимает Германия (18,93%), а вот на второй позиции неожиданно обосновался Китай (9,43%), который по итогам прошлого года занял лишь 14-е место. Замыкает первую тройку Бразилия (7,35%).</p>\n<p>На четвёртой позиции расположилась Италия (6,65%), а пятую строчнку в нашем рейтинге занимает Великобритания (4,81%). Россия по итогам квартала оказалась на шестом месте с показателем 4,47%.</p>\n<p>США (3,95%), которые на протяжении многих месяцев находились в первой пятёрке стран-мишеней спама с вредоносными вложениями, в первом квартале заняли лишь восьмую позицию. </p>\n<h2 id=\"fishing\">Фишинг</h2>\n<p>В первом квартале 2016 года на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 34 983 315 срабатываний системы «Антифишинг».</p>\n<h3 id=\"geografiya-atak\">География атак</h3>\n<p>Лидером по доле атакованных пользователей внутри страны вновь стала Бразилия (21,5%), прибавившая 3,73 п.п. Процент атакованных пользователей в Китае (16,7%) и Великобритании (14,6%) тоже увеличился по сравнению с прошлым кварталом – на 4,4 п.п. и 3,68 п.п. соответственно. В Японии (13,8%), которая была лидером прошлого года по проценту атакованных пользователей, доля снизилась на 3,18 п.п. </p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_25.png\" rel=\"attachment wp-att-28591\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_25.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"890\" height=\"526\" class=\"aligncenter size-full wp-image-28591\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_25.png 890w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_25-300x177.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_25-768x454.png 768w\" sizes=\"(max-width: 890px) 100vw, 890px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>География фишинговых атак*, первый квартал 2016 года</em></p>\n<p><small><i>* Процент пользователей, на компьютерах которых сработала система «Антифишинг», от всех пользователей продуктов «Лаборатории Касперского» в стране</i></small></p>\n<p><b>TOP 10 стран по доле атакованных пользователей</b></p>\n<div align=\"center\" style=\"margin-bottom:15px\">\n<table border=\"0\" width=\"80%\">\n<tr>\n<td style=\"border-top: 1px solid #BCD9DD;border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Бразилия</td>\n<td style=\"border-top: 1px solid #BCD9DD;border-bottom: 1px solid #BCD9DD;text-align:center\">21,5%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Китай</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">16,7%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Великобритания</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">14,6%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Япония</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">13,8%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Индия</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">13,1%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Австралия</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">12,9%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Бангладеш</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">12,4%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Канада</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">12,4%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Эквадор</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">12,2%</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Ирландия</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">12,0%</td>\n</tr>\n</table>\n</div>\n<h3 id=\"organizacii-misheni-atak\">Организации — мишени атак</h3>\n<p><i>Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях эвристического компонента системы «Антифишинг» на компьютерах пользователей. Этот компонент детектирует все страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, в тех случаях, когда ссылки на эти страницы еще отсутствуют в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.</i></p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26.png\" rel=\"attachment wp-att-28592\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26-1024x682.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"402\" class=\"aligncenter size-large wp-image-28592\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26-1024x682.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26-300x200.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26-768x511.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26.png 1483w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Распределение организаций, атакованных фишерами, по категориям, первый квартал 2016 года</em></p>\n<p>В первом квартале 2016 года по-прежнему лидирует категория «Глобальные интернет-порталы» (28,69%), прибавившая 0,39 п.п. Вторую и третью позицию занимают две финансовые категории: «Банки» (+4,81 п.п.) и «Платежные системы» (-0,33 п.п.), соответственно. Замыкают первую пятерку категории «Социальные сети» (11,84%) и «Онлайн-магазины» (8,40%), потерявшие в первом квартале 0,33 п.п. и 4,06 п.п. соответственно.</p>\n<h4 id=\"onlajn-magaziny\">Онлайн-магазины</h4>\n<p>Атаки на пользователей онлайн-магазинов интересны тем, что чаще всего сопровождаются кражей данных банковских карт и другой персональной информации.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27.png\" rel=\"attachment wp-att-28593\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27-1024x680.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"401\" class=\"aligncenter size-large wp-image-28593\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27-1024x680.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27-300x199.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27-768x510.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27.png 1349w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Распределение онлайн-магазинов, атакованных фишерами, первый квартал 2016 года</em></p>\n<p>Наибольшей популярностью у фишеров среди интернет-магазинов пользовался Apple Store. В первом квартале 2016 года его доля в категории «онлайн-магазины» составила 27,82%. За ним с заметным отрывом следует другой популярный магазин – Amazon (21,60%).</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28.png\" rel=\"attachment wp-att-28594\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28-1024x889.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"524\" class=\"aligncenter size-large wp-image-28594\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28-1024x889.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28-300x260.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28-768x667.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28.png 1069w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p style=\"text-align:center;font-weight:bold\"><em>Пример фишинговой страницы, предназначенной для кражи Apple ID и данных банковской карты жертвы</em></p>\n<p>Замыкает первую тройку популярный у геймеров сервис Steam (13,23%), ориентированный на распространение компьютерных игр и программ. Он занимает 19 место в общем рейтинге атакуемых организаций.</p>\n<p>Распространение ссылок на фишинговые страницы, использующие тематику онлайн-игр и игровых сервисов, происходит посредством баннеров, сообщений в социальных сетях и на форумах. Немного реже – почтой.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29.png\" rel=\"attachment wp-att-28595\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29-1024x618.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"365\" class=\"aligncenter size-large wp-image-28595\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29-1024x618.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29-300x181.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29-768x464.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29-330x200.png 330w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Отметим, что интерес преступников к Steam и игровым сервисам в целом растет, деньги и личные данные онлайн-геймеров часто становятся целью не только для фишеров, но и <a href=\"https://securelist.ru/blog/issledovaniya/28184/all-your-creds-are-belong-to-us/\">для разработчиков вредоносного ПО</a>.</p>\n<h4 id=\"top-3-atakuemyx-fisherami-organizacij\">TOP 3 атакуемых фишерами организаций</h4>\n<p>Основная часть нецелевого фишинга направлена на пользователей нескольких наиболее популярных компаний. Такие компании имеют множество клиентов по всему миру, благодаря чему у мошенников больше шансов попасть в цель, организуя очередную фишинговую атаку.</p>\n<p>На ТОР 3 атакуемых фишерами организаций в первом квартале 2016 года пришлось 21,71% всех детектируемых фишинговых ссылок.</p>\n<div align=\"center\" style=\"margin-bottom:15px\">\n<table border=\"0\" width=\"80%\">\n<tr>\n<td style=\"border-top: 1px solid #BCD9DD;border-bottom: 2px solid #FF0000;text-align:center\"></td>\n<td style=\"border-top: 1px solid #BCD9DD;border-bottom: 2px solid #FF0000;text-align:center\">Организация</td>\n<td style=\"border-top: 1px solid #BCD9DD;border-bottom: 2px solid #FF0000;text-align:center\">% фишинговых ссылок</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">1</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Yahoo!</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">8,51</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">2</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Microsoft </td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">7,49</td>\n</tr>\n<tr>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">3</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:left;padding-left: 10px\">Facebook</td>\n<td style=\"border-bottom: 1px solid #BCD9DD;text-align:center\">5,71</td>\n</tr>\n</table>\n</div>\n<p>По сравнению с четвертым кварталом 2015 года состав первой тройки изменился. На первом месте вновь оказалась компания Yahoo! (+1,45 п.п.), на второе место поднялась Microsoft (+2,47 п.п.), замкнула первую тройку Facebook (-2,02 п.п.).</p>\n<p>Отметим, что фишинг на Facebook встречается практически на всех языках.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_30.png\" rel=\"attachment wp-att-28596\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_30.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"882\" height=\"682\" class=\"aligncenter size-full wp-image-28596\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_30.png 882w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_30-300x232.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_30-768x594.png 768w\" sizes=\"(max-width: 882px) 100vw, 882px\" /></a></p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_31.png\" rel=\"attachment wp-att-28597\" class=\"magnificImage\"><img src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_31-1024x890.png\" alt=\"Спам и фишинг в первом квартале 2016\" width=\"604\" height=\"525\" class=\"aligncenter size-large wp-image-28597\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_31-1024x890.png 1024w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_31-300x261.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_31-768x668.png 768w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_31.png 1035w\" sizes=\"(max-width: 604px) 100vw, 604px\" /></a></p>\n<p>Также Facebook пользуется большой популярностью среди киберпреступников как средство распространения вредоносного контента. Об одной из таких схем <a href=\"https://securelist.ru/blog/phishing-blog/28364/vzrosloe-video-dlya-polzovatelej-facebook/\">мы недавно писали</a> в блоге.</p>\n<h2 id=\"zaklyuchenie\">Заключение</h2>\n<p>В первом квартале 2016 года доля спама в почтовом трафике выросла на 2,7 процентных пункта по сравнению с предыдущим кварталом. Однако говорить про тенденцию роста пока рано. Дело в том, что в начале каждого года доля спама заметно растет, связано это с тем, что количество нормальной почты в праздники заметно падает.</p>\n<p>Среди стран — источников спама по-прежнему лидируют США. Также в пятерку вошли Вьетнам, Индия, Бразилия и Китай — крупные быстро развивающиеся страны с хорошим интернетом. </p>\n<p>Спамовые письма становятся все короче. В первом квартале сообщения, размер которых не превыет 2Кб, перешагнули планку в 80% от всего спама.</p>\n<p>В первом квартале 2016 года количество спама, содержащего вредоносные вложения, резко выросло. Доля вредоносных вложений в почте достигла своего пика в марте, в 4 раза превысив среднемесячный показатель прошлого года. Такой стремительный рост связан, в частности, с популярностью криптолокеров-вымогателей, которые либо содержались непосредственно в письмах, либо подкачивались на компьютер жертвы с помощью троянца-загрузчика.</p>\n<p>Такой рост подтверждает наши давние прогнозы о постепенной криминализации спама, повышением его опасности, вместе со снижением его общей доли в почте. Разнообразие языков, социальная инженерия, огромное количество различных типов вложений, полностью меняющийся текст в рамках одной рассылки – все это выводит спам на новый уровень опасности. Кроме того, подобные вредоносные рассылки имеют очень широкий географический охват. Картина распространения зловредов по почте существенно поменялась в этом году. В частности, на второе место среди стран-жертв вышел Китай.</p>\n<p>Другое подтверждение тенденции криминализации спама – рост мошеннического, а именно «нигерийского» спама, наблюдаемый в первом квартале 2016. </p>\n<p>Вряд ли количество вредоносного спама продолжит так стремительно расти: чем более распространен вредоносный спам, тем больше людей знают о его опасности и не открывают вредоносные вложения. Поэтому, как правило, такие атаки постепенно затихают спустя несколько месяцев. Однако на смену им могут прийти другие – еще более сложные.</p>\n",
"excerpt": "В первом квартале 2016 года доля спама в почтовом трафике выросла на 2,7 процентных пункта по сравнению с предыдущим кварталом. Однако говорить про тенденцию роста пока рано. Среди стран — источников спама по-прежнему лидируют США. Также в пятерку вошли Вьетнам, Индия, Бразилия и Китай — крупные быстро развивающиеся страны с хорошим интернетом.",
"date": "2016-05-12 13:54:55",
"modified": "2016-05-12 13:54:55",
"categories": [
{
"id": 248,
"slug": "featured",
"title": "Featured",
"description": "",
"parent": 0,
"post_count": 47
},
{
"id": 1,
"slug": "analysis",
"title": "В аналитике",
"description": "",
"parent": 0,
"post_count": 1006
},
{
"id": 385,
"slug": "spam-quarterly",
"title": "Квартальные отчеты по спаму",
"description": "",
"parent": 1,
"post_count": 29
}
],
"tags": [
{
"id": 502,
"slug": "vredonosnye-programmy",
"title": "Вредоносные программы",
"description": "",
"post_count": 24
},
{
"id": 55,
"slug": "opisanie-vredonosny-h-programm",
"title": "Описание вредоносных программ",
"description": "",
"post_count": 34
},
{
"id": 35,
"slug": "statistika-po-zlovredam",
"title": "Статистика по зловредам",
"description": "",
"post_count": 266
},
{
"id": 8,
"slug": "statistika-po-spamu",
"title": "Статистика по спаму",
"description": "",
"post_count": 567
},
{
"id": 16,
"slug": "tematicheskij-spam",
"title": "Тематический спам",
"description": "",
"post_count": 228
},
{
"id": 41,
"slug": "tehnologii-vredonosny-h-programm",
"title": "Технологии вредоносных программ",
"description": "",
"post_count": 93
},
{
"id": 31,
"slug": "tehnologii-spamerov",
"title": "Технологии спамеров",
"description": "",
"post_count": 119
},
{
"id": 71,
"slug": "finansovoe-moshennichestvo-v-spame",
"title": "Финансовое мошенничество в спаме",
"description": "",
"post_count": 10
},
{
"id": 6,
"slug": "fishing",
"title": "Фишинг",
"description": "",
"post_count": 251
}
],
"author": {
"id": 257,
"slug": "daryagudkova",
"name": "Дарья Гудкова",
"first_name": "Darya",
"last_name": "Gudkova",
"nickname": "Darya Gudkova",
"url": "",
"description": ""
},
"comments": [],
"attachments": [
{
"id": 28567,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_1.png",
"slug": "spam_q1_2016_ru_1",
"title": "spam_q1_2016_ru_1",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28570,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_4.png",
"slug": "spam_q1_2016_ru_4",
"title": "spam_q1_2016_ru_4",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28574,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_8.png",
"slug": "spam_q1_2016_ru_8",
"title": "spam_q1_2016_ru_8",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28575,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_9.png",
"slug": "spam_q1_2016_ru_9",
"title": "spam_q1_2016_ru_9",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28576,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_10.png",
"slug": "spam_q1_2016_ru_10",
"title": "spam_q1_2016_ru_10",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28577,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_11.png",
"slug": "spam_q1_2016_ru_11",
"title": "spam_q1_2016_ru_11",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28578,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_12.png",
"slug": "spam_q1_2016_ru_12",
"title": "spam_q1_2016_ru_12",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28579,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_13.jpg",
"slug": "spam_q1_2016_ru_13",
"title": "spam_q1_2016_ru_13",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/jpeg",
"images": []
},
{
"id": 28581,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_15.png",
"slug": "spam_q1_2016_ru_15",
"title": "spam_q1_2016_ru_15",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28583,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_17.png",
"slug": "spam_q1_2016_ru_17",
"title": "spam_q1_2016_ru_17",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28584,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_18.png",
"slug": "spam_q1_2016_ru_18",
"title": "spam_q1_2016_ru_18",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28585,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_19.png",
"slug": "spam_q1_2016_ru_19",
"title": "spam_q1_2016_ru_19",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28586,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_20.png",
"slug": "spam_q1_2016_ru_20",
"title": "spam_q1_2016_ru_20",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28587,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_21.png",
"slug": "spam_q1_2016_ru_21",
"title": "spam_q1_2016_ru_21",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28588,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_22.png",
"slug": "spam_q1_2016_ru_22",
"title": "spam_q1_2016_ru_22",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28589,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_23.png",
"slug": "spam_q1_2016_ru_23",
"title": "spam_q1_2016_ru_23",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28591,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_25.png",
"slug": "spam_q1_2016_ru_25",
"title": "spam_q1_2016_ru_25",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28592,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_26.png",
"slug": "spam_q1_2016_ru_26",
"title": "spam_q1_2016_ru_26",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28593,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_27.png",
"slug": "spam_q1_2016_ru_27",
"title": "spam_q1_2016_ru_27",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28594,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_28.png",
"slug": "spam_q1_2016_ru_28",
"title": "spam_q1_2016_ru_28",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28595,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_29.png",
"slug": "spam_q1_2016_ru_29",
"title": "spam_q1_2016_ru_29",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
},
{
"id": 28596,
"url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2016/05/spam_q1_2016_ru_30.png",
"slug": "spam_q1_2016_ru_30",
"title": "spam_q1_2016_ru_30",
"description": "",
"caption": "",
"parent": 28561,
"mime_type": "image/png",
"images": []
}
],
"comment_count": 0,
"comment_status": "open",
"thumbnail": null,
"custom_fields": {
"securelist-show-toc": [
"1"
],
"twitterCardType": [
"summary"
],
"kss_ga_time": [
"1463472681"
],
"kss_ga_views": [
"189"
],
"kss_ga_trend": [
"0.000234631628344"
]
},
"thumbnail_size": "post-thumbnail",
"thumbnail_images": []
}
],
"query": {
"ignore_sticky_posts": true,
"count": "2",
"page": "1"
}
}
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment