Nel mese di agosto 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un decremento del 3,6%, attestandosi in tal modo su un valore medio pari al 67,6%.
Tat’jana Šerbakova
Marija Vergelis
Sommario
- Agosto in cifre
- I principali avvenimenti del mese
- Ripartizione geografica delle fonti di spam
- Pièces jointes malveillantes dans le courrier
- Phishing
- Conclusioni
Agosto in cifre
- Nel mese di agosto 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un decremento del 3,6%, attestandosi in tal modo su un valore medio pari al 67,6%.
- La quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail si è più che decuplicata rispetto all'analogo valore rilevato nel precedente mese di luglio, ed ha fatto pertanto segnare un indice pari allo 0,013% del volume complessivo di messaggi di posta elettronica circolanti in Rete.
- Nel mese di agosto sono stati individuati allegati maligni nel 5,6% dei messaggi e-mail; il valore di tale indice è pertanto aumentato del 3,4% rispetto all'analoga quota percentuale rilevata nel mese precedente.
I principali avvenimenti del mese
Nel mese oggetto del presente report, lo spam ha assunto evidenti contorni "criminosi"; nel quadro complessivo di una pronunciata diminuzione della quota globale dello spam presente all'interno del traffico mondiale di posta elettronica, si è di fatto registrato un significativo aumento del numero dei messaggi e-mail a carattere nocivo e fraudolento.
Nell'immediata vigilia del nuovo anno scolastico, uno dei temi prediletti dagli spammer è risultato essere - come era peraltro ampiamente prevedibile - il Giorno della Conoscenza, la nota festa nazionale celebrata in tutta la Federazione Russa il 1° settembre di ogni anno, fatidica data che segna l'inizio delle lezioni nelle scuole di ogni ordine e grado. Nei flussi di spam che hanno caratterizzato il mese di agosto 2013, sono stati da noi individuati numerosi mailing di massa appositamente allestiti per reclamizzare i più disparati articoli e materiali scolastici. Allo stesso modo, i malintenzionati hanno inoltrato in Rete considerevoli quantità di spam volto a sfruttare le tradizionali tematiche legate alla salute quotidiana e alla conduzione di uno stile di vita sportivo e salutare. Infine, lungo tutto l'arco del mese qui analizzato, hanno fatto ampiamente ricorso ai servizi offerti dagli spammer anche i venditori di autovetture e dei relativi accessori e servizi legati al mondo dell'automobile.
Spam per automobilisti
Al giorno d'oggi, per molti, l'auto rappresenta non solo il mezzo di locomozione per eccellenza, ma, addirittura, una vera e propria ragione di vita; tali persone dedicano all'automobile una considerevole fetta del loro tempo libero, spendendo, per di più, discrete somme di denaro. Coloro che si “dilettano” a distribuire in Rete montagne di e-mail di spam sfruttano ovviamente ben volentieri l'interesse costantemente mostrato dagli utenti nei confronti delle autovetture. Nel mese di agosto è stata da noi rilevata, all'interno del traffico di spam, la conduzione di vari mailing di massa pubblicitari volti a recapitare nelle caselle di posta elettronica degli utenti non solo le classiche offerte di acquisto o riparazione di automobili, ma anche proposte ben più originali. Ad esempio, gli autori di una di tali campagne di spam hanno invitato i destinatari dei messaggi di posta indesiderati a frequentare un singolare masterclass per la preparazione di torte a forma di automobile.
Nella maggior parte dei casi, tuttavia, nel segmento anglofono della Rete ci siamo imbattuti nelle consuete e-mail che recano ai destinatari allettanti proposte per il noleggio di autovetture, oppure pubblicizzano svendite di note auto di marca.
Il Labor Day
Negli Stati Uniti, il primo lunedì di settembre si celebra il Labor Day, importante festività nazionale dedicata ai lavoratori. La maggior parte degli americani considera tale data come la fine simbolica della stagione estiva; tradizionalmente, negli USA, proprio all'inizio del mese di settembre viene dato il via ai saldi estivi e molti negozi applicano sostanziosi sconti su un buon numero di prodotti. Come al solito, gli spammer se ne stanno ben difficilmente in disparte: così, lungo tutto l'arco del mese di agosto 2013, questi ultimi si sono attivamente dedicati alla conduzione di mailing di massa ispirati alle tematiche suggerite dalla suddetta festività, volti a reclamizzare elevati sconti su automobili e forniture di prodotti medici. Per invogliare ancor di più gli utenti, e convincerli quindi a non rimandare l'acquisto, gli spammer hanno provveduto ad indicare sull'e-mail un codice speciale, grazie al quale i destinatari del messaggio avrebbero potuto ottenere uno sconto supplementare.
Si torna a scuola!
Come era lecito attendersi, anche per gli spammer il mese di agosto è stato contrassegnato da febbrili attività connesse all'imminente ritorno sui banchi di scuola degli studenti di ogni ordine e grado. Così, come sempre avviene in questo periodo, l'inizio del nuovo anno scolastico è divenuto una delle principali tematiche sfruttate dagli spammer di ogni angolo del globo; in effetti, durante il mese analizzato nel presente report, questi ultimi si sono attivamente dedicati alla promozione dei più disparati articoli e materiali scolastici.
In alcuni casi, tuttavia, i prodotti reclamizzati non sono risultati direttamente collegati al mondo dell'istruzione: gli spammer hanno semplicemente sfruttato uno dei temi di maggiore attualità, in quest'ultima parte del periodo estivo, per cercare di attirare al massimo l'attenzione dei destinatari delle e-mail pubblicitarie. Ad esempio, all'interno dei flussi di spam di agosto, abbiamo individuato un mailing di massa recante l'offerta di singolari prodotti per la cura della pelle. Nella fattispecie, gli spammer hanno proposto l'acquisto di miracolosi cosmetici il cui effetto, a detta di quanto promesso nei messaggi e-mail in questione, non sarebbe passato inosservato proprio in occasione del primo giorno di scuola. Tali messaggi contenevano un esteso link, con apposito redirecting verso un sito web, dove all'utente veniva poi proposto di scegliere la regione per l'effettuazione della consegna del prodotto. La scelta della regione, a sua volta, avrebbe attivato la visualizzazione di una pagina Internet contenente le indispensabili informazioni di contatto relative al venditore. E' di particolare interesse osservare come, al momento della realizzazione del mailing, il ciclo di vita dei domini utilizzati attraverso i suddetti link per l’operazione di reindirizzamento dell'utente non superasse, nel complesso, i sette giorni.
«Continuate ancora ad avvolgere le merendine dei vostri figli in sacchetti di carta?» - suona proprio così il titolo di certe e-mail recapitate tramite una singolare campagna di spam, in cui la tematica scolastica è stata ampiamente sfruttata per reclamizzare un particolare tipo di imballaggio, adibito a preservare al meglio la freschezza del cibo. Nella circostanza, gli autori del messaggio di spam promettevano che il miracoloso imballaggio avrebbe mantenuto il cibo perfettamente refrigerato per almeno 10 ore, evitando in tal modo che quest'ultimo potesse facilmente corrompersi. I link contenuti nelle e-mail in questione avrebbero condotto gli utenti verso singoli domini, creati non più di un mese prima.
Così come in precedenza, anche nel mese di agosto, all'interno del traffico di posta elettronica, abbiamo continuato a rilevare la presenza di un nutrito numero di campagne di spam dedicate a varie tipologie di apprendimento online. Tuttavia, mentre nei mesi passati gli autori di simili messaggi promuovevano in primo luogo istituti di istruzione superiore, i quali offrivano soprattutto insegnamenti relativi alla possibilità di ottenere master e dottorati, alla vigilia del nuovo anno scolastico si sono sempre più intensificate le proposte riguardanti forme di apprendimento online dedicate a livelli di istruzione medi, riservate a quegli studenti che, per un motivo o per l'altro, non hanno potuto completare il ciclo di studi normalmente previsto.
Quale irrinunciabile vantaggio offerto dall'apprendimento ottenuto attraverso la Rete, gli autori dei messaggi indesiderati in questione esaltavano la totale libertà negli orari e la completa indipendenza logistica, a livello territoriale, degli studenti online. Per ricevere dettagliate informazioni, i destinatari delle suddette e-mail si sarebbero dovuti dirigere verso un sito web estero, nel quale, oltre ai programmi di apprendimento promessi, venivano tuttavia offerti ulteriori servizi, per nulla legati alle tematiche dello studio.
Lo spam «curativo»
Una significativa porzione dello spam di agosto è risultata composta da messaggi e-mail correlati in vario modo alle tematiche della salute e della conduzione di un sano stile di vita quotidiano. Uno dei temi in assoluto più popolari è sempre stato - e lo rimane anche al momento attuale - la réclame di prodotti per il dimagrimento, grazie ai quali - a detta degli spammer - nessuno dovrà mai più ricorrere a lunghe ed estenuanti diete. Nel mese scorso abbiamo rilevato simili campagne di spam sia nel segmento russo di Internet, sia in quello anglofono.
Come d'abitudine, le e-mail elaborate in lingua inglese, recanti la pubblicità dei prodotti per la perdita del peso corporeo, contenevano un apposito link preposto a condurre gli utenti verso un dominio web appena creato, risultato poi essere diverso da messaggio a messaggio. Cliccando su tale link, l'utente sarebbe giunto su un sito Internet contenente dettagliate informazioni sul prodotto offerto, sulle condizioni d'acquisto previste, e via dicendo. Il testo presente sulle pagine web in questione veniva integrato da un video pubblicitario, volto a dimostrare le miracolose proprietà del prodotto reclamizzato; inoltre, come prova dell'indiscussa efficacia dello stesso, il sito ospitava le testimonianze di numerose persone che avevano già potuto beneficiare delle decantate virtù del preparato.
Gli analoghi messaggi composti in lingua russa, invece, presentavano in genere un link breve, preposto ad indirizzare l'utente verso un determinato sito pubblicitario. Spesso, in tali e-mail, oltre al suddetto link, venivano aggiunte le informazioni di contatto, indispensabili per poter procedere all'ordinazione del prodotto.
Ripartizione geografica delle fonti di spam
Le prime tre posizioni della speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio, nel mese di agosto 2013, sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - sono rimaste invariate rispetto all’analogo rating del mese precedente. La leadership della classifica qui analizzata è andata nuovamente ad appannaggio della Cina (21%); rispetto all'analogo indice rilevato nello scorso mese di luglio la quota relativa al “colosso” dell’Estremo Oriente ha fatto tuttavia registrare una diminuzione di 2,4 punti percentuali. L’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America ha presentato un incremento dell' 1% rispetto al mese precedente; gli USA hanno in tal modo mantenuto la seconda posizione nell’ambito della graduatoria sotto riportata, facendo complessivamente segnare una quota percentuale media pari al 19%. La terza piazza del rating di agosto 2013 risulta occupata - così come nel mese scorso - dalla Corea del Sud (15,4%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese asiatico ha fatto quindi registrare un ulteriore incremento (+ 0,5%) rispetto al medesimo indice rilevato nel mese di luglio 2013. In totale, nel mese oggetto del presente report, circa il 55% del volume globale dei messaggi di posta elettronica “spazzatura” diffusi su scala mondiale è stato inoltrato verso le e-mail box degli utenti dal territorio dei tre suddetti paesi (- 1% rispetto all’analogo indice complessivo riscontrato nello scorso mese di luglio).
Così come un mese fa, la quarta posizione della speciale graduatoria da noi stilata è andata ad appannaggio di Taiwan (5,5%); la quota percentuale riconducibile al paese dell'Estremo Oriente insulare è quindi leggermente aumentata (+ 0,1%) rispetto al rating di luglio 2013. L'indice relativo allo spam proveniente dal territorio della Federazione Russa ha fatto registrare un incremento di quasi due punti percentuali rispetto al mese precedente, attestandosi su un valore medio pari al 4,3%; la Russia ha così "guadagnato" ben cinque posizioni in classifica, passando dalla decima alla quinta posizione della graduatoria qui esaminata. Ricordiamo, in effetti, come nello scorso mese di luglio la posizione di coda della TOP-10 in questione risultasse occupata proprio dalla Federazione Russa.
Osserviamo, inoltre, come la quota riconducibile al Giappone (1,8%) sia in sostanza raddoppiata (+ 0,9%) rispetto ad un mese fa; in tal modo, anche il Paese del Sol Levante, al pari della Russia, è salito di cinque posizioni all'interno della speciale classifica di agosto 2013 relativa alle fonti di spam rilevate su scala mondiale, collocandosi, di fatto, all'undicesima piazza della graduatoria da noi elaborata. Qualora tale tendenza venisse confermata anche per il mese successivo, il Giappone potrebbe entrare a far parte della TOP-10 del rating già nel mese di settembre 2013.
Gli ulteriori paesi che compongono la TOP-10 di agosto hanno mantenuto le rispettive posizioni occupate nel mese precedente, evidenziando peraltro solo lievi oscillazioni delle quote percentuali ad essi attribuibili.
La prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata nuovamente ad appannaggio della Corea del Sud; la quota attribuibile al paese dell’Estremo Oriente ha fatto segnare un ulteriore aumento (+ 2,6%) rispetto allo scorso mese di luglio e si è quindi attestata su un valore complessivo estremamente elevato (60%). Così come nel mese precedente, il secondo gradino del "podio" virtuale risulta occupato da Taiwan (4%), mentre in terza posizione si sono nuovamente collocati gli Stati Uniti (3,9%). Complessivamente, nel periodo oggetto del presente report, gli indici relativi a questi ultimi due paesi non hanno subito variazioni di rilievo.
La quarta posizione della speciale graduatoria di agosto 2013 è andata invece ad appannaggio della Russia (2,8%). La quota relativa alla Federazione Russa ha fatto registrare un incremento dell' 1,8% rispetto all'analogo valore riscontrato nel mese precedente; ciò ha determinato, all’interno di tale classifica, un notevole balzo in avanti per il paese sopra menzionato, passato repentinamente dalla quattordicesima posizione occupata nel rating di luglio all'attuale quarta piazza della graduatoria. Il Vietnam, da parte sua, con una quota pari al 2,7% è andato a collocarsi al quinto posto del rating, pur evidenziando una perdita di 0,7 punti percentuali rispetto all'analogo rating di luglio.
E' entrata a far parte della TOP-10 di agosto 2013 anche l'Indonesia (1,7%); il popoloso paese del Sud-est asiatico si è insediato all'ottava piazza della graduatoria da noi stilata. Per contro la Romania, con un indice pari all' 1,4%, ha abbandonato la parte alta della classifica, passando dalla sesta posizione di luglio 2013 all'attuale undicesima piazza. Così come nel mese scorso, chiude la TOP-10 qui sopra riportata la Germania (1,5%); la quota percentuale ascrivibile a tale paese è rimasta sostanzialmente invariata rispetto al rating di luglio.
Desideriamo infine sottolineare come, lungo tutto l'arco del periodo analizzato nel presente report, si siano notevolmente intensificati i flussi di spam provenienti dalla macro-regione asiatica; sono così entrati a far parte della classifica relativa allo spam "europeo" ulteriori paesi asiatici, quali Thailandia (0,9%), Singapore (0,6%) e Giappone (0,6%).
La graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 55,2%; nel mese di agosto 2013, l’indice attribuibile al continente asiatico è in pratica rimasto immutato rispetto all’analogo valore riscontrato nel mese precedente. Così come nel rating dello scorso mese di luglio, il secondo e il terzo gradino del “podio” virtuale risultano occupati da America Settentrionale (21%) ed Europa Orientale (14%). Complessivamente, gli indici percentuali attribuibili alle varie macro-aree geografiche mondiali non presentano variazioni di rilievo rispetto alla situazione fotografata tramite l'analoga graduatoria del mese di luglio 2013; soltanto la quota relativa all'America Settentrionale ha fatto registrare un significativo incremento, pari all'incirca ad un punto percentuale. La quarta e la quinta posizione del rating "regionale" delle fonti di spam sono andate rispettivamente ad appannaggio di Europa Occidentale (4,6%) ed America Latina (3%).
Allegati maligni rilevati nel traffico di posta elettronica
Nel mese di agosto 2013, all’interno dei flussi di posta elettronica mondiali, la quota relativa alle e-mail contenenti allegati dannosi si è attestata su un valore medio pari al 5,6% del traffico e-mail globale, facendo in tal modo registrare un incremento di ben 3,4 punti percentuali rispetto al medesimo valore rilevato nel mese scorso. E' quindi sensibilmente aumentato, in seno al traffico di posta elettronica, il numero dei messaggi di spam preposti a convogliare pericolosi allegati nocivi verso le e-mail box degli utenti.
La TOP-10 del mese di agosto 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali risulta capeggiata, così come nel mese precedente, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen; la quota attribuibile a tale programma malevolo ha tuttavia fatto registrare un leggero decremento (- 0,7%) rispetto all’analogo indice rilevato in luglio. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Il malware in questione viene abitualmente distribuito dai malfattori della Rete sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da organizzazioni commerciali e finanziarie di primaria importanza.
E' inoltre doveroso sottolineare come, nel mese oggetto del presente report, siano entrati a far parte della speciale classifica da noi stilata - relativa ai software dannosi maggiormente diffusi nel traffico e-mail - ben quattro varianti di malware riconducibili alla famiglia denominata Trojan-Ransom.Win32.Blocker. Tre di esse si sono addirittura insediate all'interno della TOP-10: si tratta, nella fattispecie, di Trojan-Ransom.Win32.Blocker.byxx (3%), Trojan-Ransom.Win32.Blocker.bzbh (1,8%) e Trojan-Ransom.Win32.Blocker.bysg (1,4%). Tali varianti sono andate ad occupare, rispettivamente, la seconda, la quinta e la settima piazza della speciale graduatoria di agosto 2013. I suddetti programmi maligni risultano preposti a compiere subdole operazioni di estorsione e ricatto nei confronti degli utenti-vittima. Essi bloccano il funzionamento del sistema operativo preso di mira, per far poi apparire sul desktop un apposito banner che mostra le condizioni fissate per il “riscatto”, le quali possono consistere, ad esempio, nell'invio di un messaggio SMS - contenente un determinato testo - verso un costoso numero a pagamento, appositamente allestito dai malintenzionati per prosciugare rapidamente l'account telefonico della vittima.
Il terzo gradino del “podio” di agosto risulta occupato dal software nocivo classificato come Email-Worm.Win32.Bagle.gt (2,3%). Si tratta di un virus worm abitualmente diffuso sotto forma di allegato ai messaggi di posta elettronica; esso è in grado di raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma maligno risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file malevoli sui computer sottoposti ad attacco, a totale insaputa degli utenti-vittima.
La quarta posizione del rating di agosto 2013 è andata ad appannaggio del worm classificato come Trojan-Spy.Win32.Zbot.nyis (2,2%), una particolare variante di uno dei programmi spyware più diffusi tra quelli riconducibili alla famigerata famiglia di malware denominata Zbot (ZeuS). Tali programmi vengono abitualmente utilizzati dai malintenzionati per effettuare il furto dei dati sensibili (login e password) relativi agli account bancari degli utenti.
Così come nel mese precedente, all'ottava piazza del rating troviamo il malware classificato dagli esperti di sicurezza IT come Email-Worm.Win32.Mydoom.m (1,4%). Il compito principale di tale worm di posta elettronica - oltre all'abituale processo di auto-riproduzione attraverso l'elenco dei contatti custodito nel computer sottoposto a contagio - consiste nell'invio di apposite query di ricerca anonime a noti search engine, quali Google, Yahoo, Altavista, Lycos. Il programma malware in causa provvede poi a confrontare gli indirizzi dei siti web restituiti sulla prima pagina dei risultati forniti dai suddetti motori di ricerca - con un elenco di indirizzi precedentemente scaricato dai server malevoli allestiti dai malintenzionati. Nel caso in cui il worm Mydoom.m individui una precisa corrispondenza, il link in questione verrà immediatamente aperto sulla pagina dei risultati prodotti dal search engine, incrementando in tal modo in maniera "artificiale" il numero delle visite ricevute dal sito web in causa; il risultato della subdola operazione condotta sarà pertanto rappresentato da una sorta di innalzamento forzato del ranking di tale sito Internet nell'ambito dei risultati restituiti dal motore di ricerca.
Chiude la TOP-10 di agosto 2013 un'ulteriore variante dei worm di posta elettronica riconducibili alla famiglia Mydoom: si tratta di Email-Worm.Win32.Mydoom.l (1,4%). Tale worm viene diffuso attraverso Internet, sotto forma di allegato ai messaggi e-mail. Il compito principale che si prefigge Mydoom.l è quello di effettuare la raccolta degli indirizzi e-mail custoditi nei computer sottoposti ad attacco, per poi realizzare il consueto processo di auto-diffusione in Rete tramite gli account carpiti. Il suddetto worm possiede anche specifiche funzionalità di backdoor.
Il primo posto della classifica qui sopra riportata - riguardante i paesi nei quali, durante il mese di agosto 2013, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - è andato ad appannaggio della Germania (12,3%). Gli Stati Uniti, leader dell'analogo rating di luglio, hanno fatto registrare una quota pari al 10,1% e si sono in tal modo collocati in seconda posizione. Il terzo gradino del "podio" virtuale di agosto è stato "conquistato" dalla Gran Bretagna; l'indice attribuibile al Regno Unito è risultato pari all' 8,7%.
L'India, da parte sua, con una quota del 6,08% è scesa al quinto posto del rating; ricordiamo che, nel mese passato, pur avendo fatto segnare un valore percentuale di poco superiore, il paese asiatico in questione occupava la terza piazza della speciale classifica da noi elaborata. Rispetto allo scorso mese di luglio, la Russia (3,48%) ha visto aumentare di poco più di un punto percentuale la propria quota; il più esteso paese del globo ha in tal modo "guadagnato" una posizione in classifica, passando dal decimo posto di luglio all'attuale nona posizione. Per contro, l'indice percentuale relativo all'Australia ha evidenziato una pronunciata flessione rispetto all'analogo rating di luglio, attestandosi su un valore medio pari al 4%. In ultima posizione, all'interno della TOP-10 di agosto 2013, troviamo infine il Canada, con una quota pari al 2,2%.
Complessivamente, nel periodo oggetto del presente report, gli indici relativi ai rimanenti paesi presenti in graduatoria non hanno subito significative variazioni percentuali.
Peculiarità e tratti caratteristici dello spam nocivo di agosto
Nonostante la lunga stagione delle vacanze e ferie estive sia ormai giunta agli sgoccioli, i malintenzionati continuano imperterriti a recapitare nelle caselle di posta elettronica degli utenti della Rete una montagna di messaggi e-mail contraffatti, mascherati sotto forma di notifiche e comunicazioni ufficiali relative a prenotazioni alberghiere e prenotazioni di biglietti aerei. Come al solito, gli spammer prendono costantemente di mira le società e le compagnie più note, quali, ad esempio, <booking.com> e Delta Air Lines; così, all'interno dei flussi di spam del mese di agosto 2013, sono state da noi individuate numerose campagne di spam fraudolento costituite da messaggi di posta volti ad imitare le e-mail abitualmente inviate ai clienti delle suddette compagnie. In genere, su tali messaggi contraffatti l'indirizzo del mittente appare, a prima vista, del tutto legittimo; si tratta di un subdolo espediente escogitato dai malfattori per cercare di indurre il destinatario dell'e-mail ad aprire il messaggio di posta appena ricevuto senza adottare le necessarie misure precauzionali.
Nel tentativo di convincere l'utente-vittima riguardo all'autenticità e alla legittimità del messaggio e-mail recapitato, i malintenzionati fanno abitualmente ricorso ad ulteriori metodi e trucchi; in genere, essi provvedono ad aggiungere al corpo dell'e-mail varie informazioni dettagliate, allo scopo di fugare ogni dubbio residuo. Il messaggio esemplificativo qui sotto riportato evidenzia, ad esempio, come i truffatori si siano premurati di comunicare “gentilmente” all'utente, a nome di <booking.com>, che la "prenotazione" eseguita risultava già confermata; gli spammer hanno inoltre inserito nel messaggio di posta precise informazioni riguardo all'ordine ricevuto, tra cui le date stabilite per le operazioni di check-in e check-out in hotel, ed il costo totale della camera prenotata. Come si può vedere, l'e-mail truffaldina in questione è stata elaborata ricalcando accuratamente lo stile di composizione adottato dal sito ufficiale; per tale specifica peculiarità, essa si differenzia dall'analogo messaggio fasullo riportato accanto, camuffato sotto forma di notifica proveniente dalla compagnia aerea Delta. In quest'ultimo si comunica al destinatario che il pagamento effettuato tramite carta di credito è stato accettato e si riportano, al contempo, informazioni dettagliate riguardo al numero, alla data e al costo del volo "prescelto". Gli autori del messaggio contraffatto invitano quindi l'utente a cliccare sul link presente nel corpo dell'e-mail, per scaricare e successivamente stampare il biglietto aereo "acquistato". Qualora il destinatario del messaggio cada nella trappola (più o meno) abilmente tesa dai malfattori, verrà immediatamente generato il download, sul computer-vittima, di un pericoloso file nocivo. Come evidenzia lo screenshot qui di seguito inserito, nell'e-mail apparentemente inviata attraverso il sito <booking.com> il file maligno è stato invece direttamente allegato al messaggio di posta. In entrambi i casi, i file dannosi dispiegati dai cybercriminali sono risultati appartenere alla famiglia di malware denominata Trojan-PSW.Win32.Tepfer; nelle intenzioni dei malfattori, tali software nocivi avrebbero dovuto essere utilizzati per compiere il furto di login e password relativi agli account aperti in Rete dagli utenti.
Durante il mese di agosto, dopo un lungo periodo di "quiete", gli spammer specializzati nella distribuzione di programmi malevoli si sono nuovamente dedicati alla conduzione di campagne di spam nocivo volte a diffondere messaggi di posta mascherati sotto forma di notifiche provenienti (apparentemente!) dalla nota compagnia di crociere Royal Caribbean International. Attraverso tali messaggi si informa l'utente che sono stati già approntati e resi disponibili i documenti elettronici relativi alla "crociera" da quest'ultimo selezionata. Come si legge nell'e-mail fasulla, i documenti in questione contengono “importanti informazioni”, di cui il passeggero deve necessariamente venire a conoscenza prima di effettuare l'imbarco sulla nave; inoltre, i suddetti documenti dovranno essere opportunamente stampati, custoditi e condotti personalmente a bordo assieme al proprio passaporto o ad altro documento ufficiale, affinché possano essere regolarmente eseguite le procedure previste per l'imbarco. In realtà, i "documenti" in causa celano il file maligno Backdoor.Win32.Androm.qt, ovvero un'insidiosa variante del programma backdoor classificato come Backdoor.Win32.Androm, utilizzata dai malfattori per assumere il controllo del computer-vittima a totale insaputa dell'utente, ed asservire in tal modo la macchina infetta ai voleri della botnet di turno.
Allo stesso modo, nei messaggi contraffatti allestiti dagli spammer vengono spesso nominati noti corrieri internazionali, quali FedEx, UPS e DHL. Attraverso tali e-mail fasulle, camuffate in veste di notifiche (apparentemente!) provenienti dalle suddette società di trasporto e logistica internazionale, i malfattori, in genere, comunicano al destinatario del messaggio che risulta impossibile effettuare la consegna di un determinato pacco a lui spedito, a causa - ad esempio - dell'indirizzo di destinazione errato. Per entrare in possesso del fantomatico pacco, l'utente dovrà quindi provvedere a stampare il file allegato all'e-mail, e presentare poi il "documento" così ricevuto ai funzionari dell'ufficio appositamente indicato dal "corriere"; in alternativa, la potenziale vittima del raggiro dovrà fornire e confermare determinati dati personali, quali, ad esempio, l'indirizzo di consegna. Il file maligno può anche celarsi sotto forma di "documenti" contenenti dettagliate informazioni sulla "spedizione" effettuata, in realtà del tutto inesistente. Gli spammer si "premurano" sempre di conferire un aspetto di autenticità e legittimità al messaggio fasullo da essi allestito; in tal modo, a prima vista, l'indirizzo del mittente apparirà piuttosto credibile, mentre l'e-mail conterrà precise informazioni sull'ordine spedito, così come le reali informazioni di contatto (ricavate dai siti ufficiali delle compagnie) ed il consueto disclaimer sulla riservatezza della comunicazione inoltrata.
Gli archivi allegati a simili e-mail contraffatte ospitano, in genere, file nocivi riconducibili alle più svariate famiglie di malware. E' risultato, ad esempio, che il file archivio <FedEx Invoice copy.zip>, allegato alle notifiche fasulle provenienti (in apparenza) da FedEx, celava, in realtà, il file eseguibile <FedEx Invoice copy.exe>, contenente un programma Trojan riconducibile alla famigerata famiglia di malware ZeuS/Zbot. Tale software nocivo viene attivamente sfruttato dai cybercriminali per realizzare il furto dei dati personali degli utenti e delle password utilizzate da questi ultimi per accedere ai sistemi di pagamento online e ai sistemi di Internet banking. Inoltre, tramite i messaggi contraffatti spediti a nome della società UPS, i malfattori hanno cercato di recapitare nelle e-mail box degli utenti l'insidioso programma trojan denominato Trojan-PSW.Win32.Tepfer.pnfu, malware preposto al furto di login e password relativi agli account aperti in Rete dagli utenti. Un ulteriore software maligno, appartenente alla famiglia Backdoor.Win32.Androm, è stato poi individuato dagli esperti di Kaspersky Lab all'interno di un mailing apparentemente allestito dalla compagnia DHL. Tramite tale programma, i malintenzionati intendevano ottenere il pieno accesso ai computer degli utenti-vittima.
Phishing
Nel mese di agosto, con la tradizionale diminuzione delle attività lavorative, si è indubbiamente registrato un sensibile decremento degli ordini ricevuti dagli spammer per la conduzione delle abituali campagne pubblicitarie; in tal modo, questi ultimi si sono attivamente dedicati all'allestimento di messaggi e-mail fraudolenti. Ne è conseguito che, in agosto, la quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail si è più che decuplicata rispetto all'analogo valore rilevato nel precedente mese di luglio, ed ha fatto pertanto segnare un indice pari allo 0,013% del volume complessivo di messaggi di posta elettronica circolanti in Rete.
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di agosto 2013 -
Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing
La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.
I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito sostanziali variazioni rispetto all’analogo rating del mese precedente. La categoria che raggruppa i social network continua quindi a detenere la poco ambita leadership relativa al numero di attacchi di phishing subiti; l’indice percentuale attribuibile a tale categoria si è mantenuto stabile rispetto al valore per essa riscontrato nel mese di luglio 2013, attestandosi nuovamente su un valore medio complessivo pari al 29,6%.
Così come in precedenza, la seconda posizione della graduatoria è andata ad appannaggio dei servizi di posta elettronica (17,2%); rispetto all'analogo rating stilato nel mese scorso, la quota relativa alla categoria "Posta elettronica, programmi di instant messaging" ha fatto tuttavia registrare una diminuzione di 0,4 punti percentuali. Per contro, è leggermente aumentato il valore dell'indice riguardante i motori di ricerca (16,1%); peraltro, la categoria che raccoglie i search engine si è nuovamente attestata sul terzo gradino del "podio" virtuale.
Come evidenzia il grafico qui sopra riportato, nelle posizioni che vanno dalla quarta all'ottava piazza troviamo, rispettivamente, le seguenti categorie: "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (13,8%), "Vendor IT" (8,4%), "Fornitori di servizi di telefonia ed Internet provider" (7,8%), "Negozi Internet ed aste online" (5,4%) e "Giochi online" (0,7%). Osserviamo, infine, come le variazioni relative agli indici percentuali attribuibili alle varie categorie presenti in classifica si siano tutte mantenute entro la soglia dell' 1%.
Nel mese di agosto 2013, uno dei bersagli prediletti dai phisher - nell'ambito della categoria che raggruppa i vendor IT - è risultata essere la compagnia Apple, società di rinomanza mondiale. In effetti, ci siamo di frequente imbattuti in messaggi e-mail apparentemente inviati tramite un account di posta ufficiale della corporation di Cupertino, i quali si sono in realtà rivelati essere insidiose e-mail di phishing, appositamente allestite dai malfattori allo scopo di raggirare gli utenti e compiere quindi il furto di login e password. Attraverso messaggi del genere, i malintenzionati si sono "preoccupati" di comunicare all'utente-vittima che quest'ultimo, entro 48 ore, avrebbe dovuto necessariamente confermare i dati relativi al proprio account iTunes, visto che l'accesso a tale account era stato temporaneamente "congelato" per motivi di sicurezza. Per effettuare l'operazione di sblocco, il destinatario dell'e-mail avrebbe dovuto innanzitutto cliccare sul link inserito nel corpo del messaggio, per poi seguire le successive istruzioni riportate sul sito web. Per vincere la naturale diffidenza dell'utente, gli spammer hanno cercato di evidenziare, nel testo dell'e-mail, come il messaggio in questione fosse stato creato in maniera automatica. Nella specifica circostanza, ad allertare Il destinatario dell'e-mail di phishing avrebbe tuttavia dovuto essere non solo il campanello d'allarme rappresentato dall'inusuale richiesta di confermare i dati del proprio account su un sito web di terze parti, ma anche l'assenza di qualsiasi riferimento di carattere personale all'interno del messaggio.
Conclusioni
Nel mese di agosto 2013 si è registrata una significativa diminuzione della quota percentuale inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica; in effetti, tale indice si è attestato su un valore medio pari al 67,6%, ovvero - 3,6% rispetto all'analoga quota riscontrata nel precedente mese di luglio. La tradizionale diminuzione delle attività lavorative che ogni anno caratterizza il periodo delle ferie e delle vacanze estive ha quindi generato un sensibile decremento degli ordini ricevuti dagli spammer per la conduzione delle consuete campagne pubblicitarie. Ad ogni caso, all'interno dei flussi di spam di agosto, sono stati da noi individuati numerosi mailing di massa dedicati ad offerte di noleggio o acquisto di autovetture, alla fornitura di prodotti medici, così come ad inusuali proposte per la conduzione di un sano stile di vita quotidiano. Inoltre, nel corso del mese analizzato nel presente report, gli spammer hanno attivamente sfruttato le varie tematiche connesse all'inizio dell'anno scolastico in vari paesi del globo - non lasciando passare inosservata, peraltro, nemmeno la celebrazione del Labor Day, importante festività nazionale statunitense - per reclamizzare i prodotti e i servizi più disparati.
E' di particolare importanza sottolineare come, nel periodo estivo, lo spam assuma precisi contorni "criminosi"; si assiste, in tal modo, ad un considerevole incremento del numero dei messaggi fraudolenti presenti nel traffico globale di posta elettronica; al contempo, si registra un sensibile aumento del numero delle e-mail nocive, preposte a convogliare pericolosi file maligni verso le caselle di posta degli utenti della Rete. Nel mese di agosto, tra i programmi malware maggiormente diffusi all'interno dei flussi di spam, hanno nettamente prevalso - per quantità - i famigerati Trojan-Spy, specializzati nel compiere il furto dei dati sensibili di natura finanziaria. Presso le folte schiere dei malintenzionati della Rete hanno tuttavia goduto di notevole popolarità anche i worm riconducibili alla famiglia Trojan-Ransom.Win32.Blocker; in effetti, alcune varianti di tale specifica tipologia di malware sono andate ad occupare alcune delle posizioni di vertice della speciale classifica mensile relativa agli oggetti maligni più frequentemente rilevati nel traffico di posta elettronica.
Nel lungo periodo delle ferie e delle vacanze estive, gli spammer hanno continuato imperterriti a inondare le e-mail box degli utenti della Rete con ingenti quantità di messaggi di posta malevoli mascherati sotto forma di notifiche e comunicazioni ufficiali provenienti da note società e compagnie specializzate nell'erogare servizi di prenotazione di hotel e biglietti aerei. I malfattori non hanno "trascurato" neppure note società di trasporto e logistica internazionale, il cui buon nome è stato indebitamente sfruttato sia per condurre insistite campagne di phishing, sia per distribuire pericolosi programmi nocivi.
I phisher, tra l'altro, per cercare di raggirare gli utenti e compiere il consueto furto di dati sensibili - in particolar modo login e password - si sono ugualmente avvalsi della vasta popolarità ormai raggiunta a livello planetario dai prodotti e dai servizi forniti dalla compagnia Apple. Nel segmento russo di Internet, inoltre, i truffatori della Rete hanno creato e attivamente promosso, tramite lo spam, certi servizi online mascherati sotto forma di prestazioni ufficialmente erogate da enti statali, allo scopo di carpire illecitamente sia le informazioni personali, sia il denaro degli utenti.
Nel mese di agosto 2013, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non ha subito significative variazioni rispetto all’analogo rating stilato riguardo al mese precedente. Così come avevamo previsto, le categorie che raggruppano i social network e i servizi di posta elettronica continuano a detenere la poco ambita leadership relativa al maggior numero di attacchi di phishing subiti. Di fatto, nel mese estivo oggetto del presente report, le attività condotte da alunni e studenti di ogni ordine e grado sui social network e attraverso i servizi di posta elettronica si mantengono, in genere, su livelli piuttosto elevati; ne consegue che, in tale periodo, i phisher manifestano - tradizionalmente - un notevole "interesse" proprio nei confronti di tali specifici settori. Tuttavia, nel mese di settembre, quando le attività lavorative inizieranno a riprendere a pieno ritmo, l'interesse dei phisher si sposterà progressivamente dai social network verso le organizzazioni finanziarie e i sistemi di pagamento online e, di conseguenza, si amplificherà il numero degli attacchi condotti nei confronti del settore bancario. Allo stesso tempo, con ogni probabilità, all'interno dei flussi di spam globali si ridurrà in maniera sensibile il numero dei mailing di massa a carattere nocivo e fraudolento.
