Nel terzo trimestre del 2012 la quota relativa allo spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 71,5% del volume complessivo di messaggi e-mail circolanti in Rete. Il valore di tale indice è quindi diminuito del 2,8% rispetto all'analoga quota percentuale rilevata nel secondo trimestre dell'anno in corso
- Il trimestre in cifre
- Tratti caratteristici del periodo analizzato: politica e religione all’interno dei flussi di spam
- Le nuove piattaforme di advertising: i pro e i contro
- Spam maligno di ogni genere e tipo
- Le statistiche del terzo trimestre 2012
- Phishing
- Conclusioni e previsioni
Il trimestre in cifre
- Nel terzo trimestre del 2012 la quota relativa allo spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 71,5% del volume complessivo di messaggi e-mail circolanti in Rete. Il valore di tale indice è quindi diminuito del 2,8% rispetto all'analoga quota percentuale rilevata nel secondo trimestre dell'anno in corso.
- Sono stati individuati allegati nocivi nel 3,9% dei messaggi di posta elettronica; evidenziamo come, rispetto al trimestre precedente, si sia assistito ad un significativo incremento dei valori relativi a tale indice (+ 0,9%).
- Gli attacchi portati dai phisher nei confronti degli utenti dei social network hanno rappresentato, da soli, oltre un quarto (27%) del volume complessivo dei tentativi di furto di dati sensibili effettuati mediante l’utilizzo di tecniche di phishing.
- Il 26,7% del totale dei messaggi e-mail indesiderati è stato distribuito nelle caselle di posta elettronica degli utenti del Web da parte di spammer insediati entro i confini del territorio degli Stati Uniti d’America.
Tratti caratteristici del periodo analizzato: politica e religione all’interno dei flussi di spam
Il personaggio più popolare in assoluto, nell’ambito dei flussi di spam che hanno caratterizzato il terzo trimestre del 2012, è risultato essere ancora una volta il presidente degli Stati Uniti d’America, Barack Obama. Il nome di Obama è stato costantemente «utilizzato» in una serie infinita di messaggi di spam dedicati ai temi e ai motivi più disparati: dalle più banali pubblicità (di «orologi come quello del presidente», ad esempio) alle rivelazioni (più o meno) «clamorose» riguardo agli atti compiuti dell’amministrazione presidenziale, ai ripetuti appelli lanciati ai cittadini americani per esortare alla lotta contro le politiche applicate da Obama durante il proprio mandato quadriennale (abbiamo osservato come, in genere, quest’ultima tipologia di messaggi contenesse esplicite richieste di denaro nei confronti del destinatario dell’e-mail, sotto forma di donazioni per contribuire alla lotta politica intrapresa contro il presidente in carica). Desideriamo sottolineare, nella circostanza, come siano state ugualmente individuate numerose campagne di spam fraudolento - nonché un consistente numero di mailing di massa recanti pericolosi allegati nocivi - in cui gli spammer hanno esplicitamente «sfruttato» la popolarità planetaria raggiunta da Barack Obama.
Verso la fine dello scorso mese di settembre si è considerevolmente intensificata la quantità di mailing di massa - in lingua inglese - attraverso i quali i cittadini statunitensi venivano invitati a cambiare il corso politico del loro paese. Ciò ha coinciso, naturalmente, con l’inizio della fase finale della dura campagna elettorale per la Casa Bianca, conclusasi con l’election day del 6 novembre 2012. Tali messaggi contenevano sia esplicite critiche nei confronti dell’operato di Barack Obama, sia accorati inviti per accordare il proprio voto all’altro candidato impegnato nella corsa presidenziale USA, il repubblicano Mitt Romney.
Sottolineiamo come, negli USA, lo spam politico e lo spam dai contenuti non commerciali non sia affatto contemplato nel CAN-SPAM Act, il noto provvedimento legislativo federale risalente al 2003, adottato al fine di contrastare il dilagare di certe forme di spam. Ciò significa che qualunque organizzazione ufficiale è legalmente autorizzata ad effettuare l’invio di messaggi e-mail riconducibili alla stessa tipologia di quello qui sopra riprodotto.
Ovviamente, hanno sfruttato la vasta popolarità di Barack Obama anche le folte schiere dei truffatori della Rete. Oltretutto, nell’ambito dello spam fraudolento, non è comparso esclusivamente il nome del presidente degli Stati Uniti, ma anche quello della moglie, Michelle Obama. Inviando messaggi e-mail a nome della first lady americana, i cosiddetti spammer “nigeriani” hanno ovviamente cercato di conquistare immediatamente la fiducia dei destinatari dei mailing di massa da essi allestiti; nello screenshot qui sotto riportato, ad esempio, «Michelle Obama» promette l’invio di ben venti milioni di dollari USA, tramite un apposito fondo istituito dalla Casa Bianca; per entrare in possesso dell’iperbolica somma di denaro, il destinatario dell’e-mail non dovrà far altro che comunicare alla first lady americana il proprio indirizzo ed il proprio numero di telefono, nonché pagare la modica cifra di… 240 dollari.
Nel trimestre oggetto del presente report, oltre alle campagne di spam di natura politica, sono stati da noi individuati vari mailing di massa a sfondo religioso. Gli spammer hanno ad esempio provveduto a diffondere messaggi contenenti link preposti a condurre i destinatari delle e-mail verso un particolare video dai toni scandalistici, pubblicato su YouTube, ovvero uno spezzone del (presunto) film di carattere antislamico intitolato «Innocence of Muslims». Come è noto, i malintenzionati cercano sempre di sfruttare al massimo il naturale interesse degli utenti della Rete nei confronti dei temi caldi del momento: spesso, in messaggi di spam del genere, vengono quindi inseriti link dannosi, destinati a condurre verso risorse web malevole. E’ tuttavia interessante osservare come, nella circostanza, all’interno delle campagne di spam aventi per tema il video sopra menzionato, non siano stati rilevati né codici nocivi né link dannosi: i link contenuti nei messaggi e-mail in questione conducevano difatti semplicemente ed esclusivamente verso la visione del noto filmato pubblicato su YouTube.
In ogni caso, alcuni malfattori hanno ugualmente cercato di sfruttare per i loro loschi fini il grande clamore suscitato dal suddetto “film”, ed hanno così inviato verso le e-mail box degli utenti numerosi messaggi nocivi mascherati sotto forma di “breaking news” relative a tale argomento:
I link contenuti in questi messaggi conducevano verso un sito web compromesso, dal quale gli ignari utenti sarebbero stati poi reindirizzati verso il sito dannoso < pillsearnings.nl>. Abbiamo inoltre rilevato come, verso questa stessa risorsa Internet malevola, conducesse ugualmente uno specifico link nocivo inserito in certi messaggi di spam ispirati alle tematiche delle elezioni USA, in cui si menzionavano i nomi dei due contendenti alla poltrona presidenziale americana:
Le nuove piattaforme di advertising: i pro e i contro
Significativa diminuzione delle quote di spam
Nel nostro precedente report trimestrale dedicato al fenomeno spam avevamo già ampiamente sottolineato come, nell’evidente e progressiva flessione delle quote relative ai messaggi e-mail indesiderati presenti all’interno dei flussi di posta elettronica, giocasse un ruolo determinante la concorrenza commerciale esercitata nei confronti dello spam dalle nuove piattaforme di advertising, costituite da banner, social network, pubblicità contestuali e da risorse web specificamente dedicate alla distribuzione di coupon sconto, volti ad offrire agli utenti della Rete l’opportunità di ricevere consistenti sconti collettivi. Nel terzo trimestre dell’anno in corso, tale specifica tendenza è rimasta invariata: in effetti, l’indice relativo alle quantità di messaggi “spazzatura” presenti nel traffico e-mail ha fatto segnare un’ulteriore diminuzione, quantificabile in 2,8 punti percentuali.
Il grafico qui sopra riportato evidenzia, il significativo calo delle quote di spam verificatosi durante gli scorsi mesi di luglio e agosto; tradizionalmente, il periodo estivo è sempre caratterizzato da una diminuzione del numero dei messaggi e-mail “spazzatura” presenti nel traffico di posta elettronica. L’indice in questione è poi tornato a crescere, anche se in maniera non particolarmente pronunciata, nel successivo mese di settembre; tale tendenza è sempre tipica dell’inizio della stagione autunnale: terminano ferie e vacanze estive, gli utenti trascorrono più tempo in Internet, mentre coloro che commissionano servizi pubblicitari incrementano il numero dei loro ordini, anche nei confronti degli spammer. Emerge complessivamente, in ogni caso, una chiara e generale tendenza verso la progressiva diminuzione delle quote di spam all’interno dei flussi e-mail globali.
«Zone d’ombra» nelle campagne di spam
Negli ultimi tempi hanno fatto la loro comparsa in Rete - in gran numero - nuovi servizi online di natura commerciale, ovvero siti web specificamente dedicati alla distribuzione di coupon sconto: acquistando sul web un coupon, l'utente acquisisce il diritto di ottenere un considerevole sconto su un determinato prodotto o un certo servizio, generalmente a condizione che entri in possesso del medesimo coupon un numero minimo di utenti, entro una data prefissata (sconti collettivi). I servizi Internet che si occupano della distribuzione degli ambiti coupon sconto hanno rapidamente acquisito una vasta popolarità presso il pubblico della Rete, in ogni angolo del pianeta; tra l’altro, essi stanno alimentando sensibilmente il progressivo processo di allontanamento degli “inserzionisti” pubblicitari dal mondo dello spam. Si tratta, da un lato, di un fenomeno dai risvolti indubbiamente positivi; dall’altro lato, occorre rilevare come non tutti i “servizi-coupon” operino in maniera corretta - dal punto di vista legale - per ciò che riguarda il processo di distribuzione dei propri annunci pubblicitari nelle e-mail box degli utenti. Tali circostanze producono, di fatto, vaste «zone d’ombra» nella conduzione dei mailing di massa.
Alcuni servizi online specializzati nella distribuzione dei coupon sconto, per ampliare la propria clientela ricorrono a mailing di massa indirizzati non solo agli utenti che hanno sottoscritto il servizio, ma anche ad un ben più vasto numero di account di posta elettronica. Ovviamente, se l’utente non ha previamente fornito il proprio consenso per la ricezione della newsletter o del messaggio proveniente dal servizio-coupon, le e-mail inviate da quest’ultimo debbono essere considerate spam a tutti gli effetti; questo anche nel caso in cui il mailing in questione contenga - oltre alla pubblicità diretta del prodotto o del servizio proposto - notizie, articoli a tema od ogni altra informazione rilevante. In pratica, qualunque persona può denunciare alle autorità giudiziarie il responsabile della conduzione di una simile campagna di spam. In Russia, ad esempio, l’Articolo 18 della Legge Federale denominata “In materia di pubblicità” precisa e stabilisce espressamente quanto segue:
«La diffusione di contenuti pubblicitari attraverso le reti di telecomunicazione - compreso l’utilizzo di comunicazioni tramite telefono, fax o dispositivi radiomobili - è permessa solo nel caso in cui l’utente o il destinatario degli stessi abbiano previamente fornito il proprio consenso per la ricezione di tali pubblicità. I contenuti pubblicitari in questione saranno invece ritenuti a tutti gli effetti inviati senza il preventivo consenso da parte dell’utente o del destinatario degli stessi qualora la persona che ha provveduto a diffondere tali contenuti non sia in grado di dimostrare che è stato regolarmente e previamente ottenuto il necessario consenso».
Articoli di legge dall’analogo contenuto sono in pratica previsti nelle legislazioni di tutti i paesi del globo; certi stati nazionali, poi, come è noto, hanno già adottato provvedimenti legislativi specifici, volti a contrastare in maniera risolutiva il dilagare del fenomeno spam.
Riassumendo, in pratica, chiunque può denunciare alle autorità giudiziarie competenti la persona che si è avvalsa di procedure illegali (nella fattispecie l’utilizzo di messaggi di spam) per realizzare l’invio di contenuti pubblicitari indesiderati. Sottolineiamo infine come, mentre nello spam tradizionale il mittente in sostanza conserva l’anonimato - e quindi si rivela particolarmente complesso poter individuare ed assicurare alla giustizia l’autore del mailing di massa - risulta invece estremamente più semplice l’individuazione dei responsabili delle campagne di spam condotte nell’ambito di simili «zone d’ombra»
Messaggi di spam nocivi mascherati sotto forma di e-mail provenienti dai servizi Internet dedicati alla distribuzione di buoni sconto
La crescente popolarità acquisita dalle nuove - e del tutto legittime - piattaforme di advertising viene purtroppo sfruttata anche dagli stessi spammer, al fine di perseguire loschi obiettivi. In primo luogo, ciò si manifesta attraverso l’invio di messaggi e-mail recanti contenuti nocivi, camuffati sotto forma di notifiche ufficiali di vario genere: all’interno dei flussi di spam nocivo risultano difatti in costante aumento le quantità di messaggi dannosi mascherati in veste di comunicazioni provenienti (in apparenza!) dai servizi Internet che si occupano della distribuzione degli ambiti coupon sconto collettivi.
L’utilizzo della tematica dei buoni sconto nell’ambito del traffico di spam era stato da noi evidenziato già nell’analogo report dedicato al secondo trimestre del 2012. La recente comparsa all’interno dello spam di e-mail nocive camuffate sotto forma di messaggi provenienti da Groupon - il principale servizio Internet specializzato nell’erogazione di coupon sconto - ci obbliga ovviamente a tornare nuovamente sull’argomento.
Tra l’altro, era senza dubbio più che lecito attendersi la comparsa sulla scena del malware di una simile tipologia di spam nocivo, visto che i coupon sconto godono ormai di una popolarità planetaria, ed i servizi Internet che si occupano della loro distribuzione riscuotono un’ampia fiducia da parte del pubblico della Rete. I falsi messaggi apparentemente provenienti dai servizi-coupon operanti nel web rappresentano pertanto, per i malintenzionati, uno strumento ideale per cercare di distribuire pericolosi programmi malware nelle e-mail box degli utenti.
La prima campagna di spam riconducibile alla tipologia sopra descritta è stata da noi individuata nello scorso mese di luglio. Nella circostanza, i messaggi e-mail nocivi, mascherati sotto forma di comunicazione ufficiale relativa ad una nuova iniziativa commerciale intrapresa da Groupon, recavano in allegato un archivio zip, contenente il file eseguibile Gift coupon.exe. In realtà, il file in questione altro non era se non il programma nocivo classificato come Trojan.Win32.Yakes.aigd. E’ di particolare interesse osservare come tutti i link riportati nei messaggi contenenti il suddetto allegato nocivo conducessero, effettivamente, verso il sito web di Groupon, sul quale, peraltro, non è stata poi rilevata la presenza di alcun oggetto pericoloso. Con ogni probabilità, si è trattato di un particolare trucco adottato dai malintenzionati, al fine di guadagnarsi pienamente la fiducia dell’utente-destinatario dell’e-mail in questione.
Una situazione completamente diversa si è invece presentata riguardo a certe e-mail nocive da noi individuate nel traffico di spam durante lo scorso mese di settembre. I messaggi distribuiti attraverso questo ulteriore mailing di massa - in veste di allettanti offerte commerciali provenienti (in apparenza!) da Groupon - di fatto non contenevano allegati nocivi; ad ogni caso, tutti i link presenti nelle e-mail nocive in questione conducevano, attraverso una serie di redirecting, verso un sito web dannoso imbottito di pericolosi exploit.
Come sottolineato in precedenza, la comparsa di spam nocivo - volto a sfruttare la vasta popolarità ormai raggiunta dai coupon sconto presso il pubblico della Rete - era ampiamente prevedibile. Riteniamo doveroso mettere in guardia gli utenti nei confronti dei possibili rischi legati alla presenza di simili messaggi nocivi all’interno del traffico di posta elettronica, ricordando, qui di seguito, alcuni semplici - ma fondamentali - consigli per la sicurezza IT.
Innanzitutto, è quantomai improbabile che i servizi online specificamente dedicati alla diffusione degli ambiti buoni per sconti collettivi possano inserire degli allegati nei messaggi e-mail da essi distribuiti alla propria clientela, e tantomeno sotto forma di archivi zip o file eseguibili.
In secondo luogo, prima di cliccare sul link presente nel messaggio ricevuto, l’utente può e deve sempre fare in modo di accertare che nell’e-mail inviata dal “servizio-coupon” il campo <From> risulti compilato in maniera insospettabile (con chiari ed inequivocabili riferimenti al legittimo mittente); allo stesso tempo, tutti i link presenti nel messaggio dovranno condurre l’utente esattamente laddove essi promettono (tale controllo può essere effettuato posizionando semplicemente il cursore del mouse sui link in questione).
Numerosi (ed utilissimi!) consigli pratici riguardo a tali tematiche di sicurezza Internet possono essere reperiti all’interno del nostro sito web.
Spam nocivo di ogni genere e tipo
Desideriamo sottolineare come, nel trimestre oggetto del presente report, le campagne di spam nocivo da noi osservate si siano caratterizzate per la loro spiccata varietà e diversità. Tutti i messaggi riconducibili a tali mailing di massa sono risultati camuffati da notifiche e comunicazioni ufficiali: all’interno dei flussi di spam ci siamo imbattuti in un enorme numero di e-mail contraffatte (apparentemente!) provenienti dalle fonti più disparate, quali servizi di hosting, sistemi bancari, social network, negozi Internet e servizi online di vario genere.
Mentre nel trimestre precedente i malintenzionati avevano fatto frequentemente ricorso a falsi messaggi di posta elettronica relativi all’acquisto di biglietti aerei, è interessante osservare come nel terzo trimestre dell’anno in corso i cybercriminali abbiano sempre più spesso utilizzato e-mail contraffatte riguardanti prenotazioni alberghiere.
In alcuni casi, i malintenzionati si sono avvalsi contemporaneamente di due diversi metodi di ingegneria sociale: al fine di indurre l’utente a cliccare sul link nocivo presente nel messaggio, in certe e-mail contraffatte - provenienti in apparenza da siti web particolarmente popolari presso il pubblico della Rete - si menzionava ugualmente il riconoscimento di qualche particolare premio, oppure la concessione di interessanti sconti:
Con una simile varietà e quantità di messaggi e-mail nocivi in circolazione, contenenti pericolosi link nocivi, gli utenti debbono evidentemente prestare ancora maggiore attenzione, adottando comportamenti di particolare prudenza e cautela durante la quotidiana navigazione in Internet e durante l’utilizzo della posta elettronica: qualsiasi messaggio ricevuto nella propria e-mail box potrebbe difatti rivelarsi pericoloso!
Le statistiche del terzo trimestre 2012
Allegati nocivi rilevati nel traffico di posta elettronica
Sebbene nei flussi di posta elettronica, nel corso del terzo trimestre dell’anno, si sia registrata una progressiva e costante diminuzione della quota inerente ai messaggi e-mail recanti allegati nocivi, abbiamo assistito, rispetto al trimestre precedente, ad un significativo incremento dei valori relativi a tale indice (+ 0,9%), il quale si è attestato su un valore medio pari al 3,9%. Il grafico qui sotto riportato evidenzia la distribuzione delle quote percentuali riscontrate lungo tutto l’arco del terzo trimestre del 2012 relativamente alla presenza di allegati nocivi in seno al traffico e-mail globale.
Quote percentuali relative ai messaggi di posta elettronica contenenti allegati nocivi,
rilevati nel traffico e-mail nel corso del terzo trimestre del 2012
Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail
Rispetto all’analogo rating da noi stilato riguardo al secondo trimestre dell’anno corrente, il cambiamento di maggior rilievo all’interno della speciale graduatoria del terzo trimestre 2012 dedicata alla ripartizione geografica (per paesi) dei rilevamenti eseguiti dal nostro antivirus e-mail è indubbiamente rappresentato dall’ascesa della Germania (+ 3,8%) al vertice assoluto della classifica.
Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del terzo trimestre del 2012
Gli Stati Uniti d’America, leader incontrastati della graduatoria in questione per ben otto mesi consecutivi, nel mese di settembre 2012 sono inaspettatamente e repentinamente scesi in ottava posizione; ciò ha influito considerevolmente sui valori che complessivamente riassumono i rilevamenti effettuati nell’arco del trimestre. In effetti, la quota attribuibile ai rilevamenti eseguiti dal modulo Kaspersky Mail Antivirus entro i confini del territorio statunitense nel corso del trimestre oggetto del presente report, ha fatto registrare una significativa flessione - pari al 5,2 % - rispetto all'analogo valore rilevato riguardo agli USA nel trimestre precedente. Gli Stati Uniti si sono così collocati sul secondo gradino del “podio” virtuale, con un lieve gap percentuale rispetto alla Germania, nuovo leader della graduatoria.
Osserviamo inoltre come - rispetto al secondo trimestre del 2012 - sia diminuita dell’ 1,7% la quota riconducibile alla Gran Bretagna (scesa in quinta posizione), mentre l’indice relativo all’Italia ha fatto registrare una flessione di 1,6 punti percentuali; in tal modo, l’Italia è uscita dalla TOP 10 sopra riportata, mentre nel trimestre precedente occupava la settima posizione della speciale graduatoria da noi stilata. Le variazioni inerenti alle quote ascrivibili agli altri paesi presenti nel rating relativo al terzo trimestre dell’anno in corso si sono infine tutte mantenute entro la soglia dell’ 1,5%.
E’ di particolare interesse porre in risalto l’evidente correlazione esistente tra le dinamiche che hanno caratterizzato la diffusione - ed il conseguente rilevamento da parte delle nostre soluzioni anti-malware - dei codici maligni sul territorio di Vietnam ed Australia: per tutto il trimestre qui esaminato, le curve del grafico che sintetizzano gli indici attribuibili a tali paesi mostrano difatti un andamento sostanzialmente identico.
Quote relative allo spam nocivo rilevato sul territorio di Australia e Vietnam
Periodo: giugno - settembre 2012
TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica
Nonostante nello scorso mese di settembre sia bruscamente diminuita la quota riconducibile ai rilevamenti compiuti dall'Antivirus e-mail di Kaspersky Lab nell'ambito dei sistemi di posta elettronica riguardo al malware Trojan-Spy.HTML.Fraud.gen, tradizionale leader della graduatoria qui di seguito inserita (sottolineiamo come il suddetto programma malware non sia addirittura nemmeno entrato a far parte della TOP 10 di settembre 2012 relativa ai software nocivi più diffusi nel traffico e-mail), la prima posizione della speciale graduatoria da noi stilata relativamente ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail nel corso del terzo trimestre dell’anno risulta nuovamente occupata dal malware Trojan-Spy.HTML.Fraud.gen, peraltro con un notevole margine rispetto agli altri software dannosi presenti nella TOP 10. Nel terzo trimestre del 2012, oltre un quinto dei rilevamenti effettuati dal nostro modulo antivirus dedicato alla posta elettronica è risultato difatti riconducibile al programma malware sopra menzionato. Ricordiamo, nella circostanza, come Trojan-Spy.HTML.Fraud.gen sia stato elaborato dai suoi autori sotto forma di una pagina HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web. I dati di registrazione inseriti dall'utente in tali «form» vengono poi ovviamente intercettati e carpiti dai malintenzionati di turno. L'utilizzo di tale specifico programma malware costituisce ancora, al momento attuale, uno dei principali metodi di attacco presenti nel sempre nutrito «arsenale» dei phisher.
TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica -
Situazione relativa al terzo trimestre del 2012
I worm di posta elettronica classificati come Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m ed Email-Worm.Win32.Mydoom.l sono andati rispettivamente ad occupare la seconda, la terza e la quarta posizione del rating esaminato nel presente capitolo del nostro consueto report trimestrale dedicato al fenomeno spam. Il «confratello» Email-Worm.Win32.Netsky.q si è invece insediato alla sesta piazza della graduatoria in questione. Cogliamo qui l’occasione per ricordare come le funzionalità standard possedute dai worm di posta elettronica siano rappresentate dalla raccolta illecita degli indirizzi e-mail presenti nei computer-vittima contagiati e dal successivo processo di auto-diffusione in Rete condotto tramite gli account di posta elettronica sottratti. Bagle.gt è l’unico dei quattro programmi sopra menzionati a risultare provvisto di ulteriore potenziale nocivo: in aggiunta alle funzionalità che generalmente contraddistinguono gli “illustri” colleghi, esso è difatti in grado di interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare sui computer degli utenti altri software nocivi.
I programmi malware riconducibili alla famiglia Androm sono entrati a far parte già nel mese di giugno scorso della speciale TOP 10 mensile da noi stilata; lungo tutto l’arco dell’estate 2012, poi, essi hanno letteralmente “invaso” la classifica relativa ai software nocivi rilevati con maggiore frequenza nel traffico di posta elettronica. Addirittura, nel mese di settembre, al primo posto del rating esaminato nel presente capitolo del report, è andato proprio a collocarsi il malware denominato Backdoor.Win32.Androm.kv. Tale variante, come si può vedere nel grafico sopra riportato, occupa invece il quinto posto del rating relativo al terzo trimestre dell’anno, mentre la decima piazza della TOP 10 è andata ad appannaggio di un altro software nocivo appartenente alla medesima famiglia (si tratta della variante Androm.ib). Ricordiamo, nella circostanza, che tali programmi nocivi, una volta insediatisi nel computer dell’utente-vittima, provvedono ad effettuare il download, tramite Internet, di ulteriori pericolosi software nocivi, quali i famigerati spam-bot.
La settima posizione del rating inerente ai dieci programmi nocivi maggiormente diffusi nei flussi e-mail risulta occupata da Trojan-Ransom.Win32.PornoAsset.aauh; si tratta, nella fattispecie, di un fastidiosissimo software “estorsore”, il quale provvede a bloccare il sistema operativo, esigendo da parte dell’utente-vittima il pagamento di una cospicua somma di denaro al fine di “sbloccare” la macchina infettata. E’ di fondamentale importanza porre in evidenza come, anche dopo il pagamento del «riscatto», il sistema operativo non venga affatto sbloccato; l’utente non dovrà quindi in alcun modo assecondare le richieste di denaro provenienti dagli spammer, ma, nella circostanza, dovrà piuttosto rivolgersi a tecnici esperti in materia di protezione anti-malware; questi ultimi forniranno tutte le informazioni e gli elementi necessari per poter ripristinare al meglio il corretto funzionamento del computer compromesso. Sottolineiamo come, nello scorso mese di settembre, ben quattro dei dieci programmi malware presenti nella TOP 10 mensile relativa ai software dannosi maggiormente distribuiti attraverso il traffico di posta elettronica risultassero riconducibili proprio alla famiglia Trojan-Ransom.Win32.PornoAsset.
Dimensioni dei messaggi di spam
Dimensionidellee-maildispam-
Quadro relativo al terzo trimestre del 2012
Anche nel terzo trimestre del 2012, come di consueto, all’interno dei flussi di spam sono stati rilevati, nella stragrande maggioranza dei casi, messaggi e-mail indesiderati aventi dimensioni estremamente contenute (1 Кb o addirittura meno di un kilobyte). In genere, il corpo di tali messaggi è risultato esclusivamente composto da un brevissimo testo, contenente un link preposto a condurre verso il sito web dove, secondo le intenzioni degli spammer, avrebbe dovuto forzatamente giungere il browser dell’utente. Nel mese di settembre abbiamo tuttavia osservato un sensibile aumento del numero delle e-mail di spam di dimensioni leggermente superiori (2 - 5 Kb). Ciò è dovuto al fatto che, con il sopraggiungere della stagione autunnale, si assiste ad un naturale e significativo incremento dei volumi attribuibili allo spam commissionato dalle piccole e dalle medie imprese: generalmente, i messaggi riconducibili a tale tipologia di spam contengono un maggior numero di informazioni. Lo spam diffuso nell’ambito dei programmi di partenariato contiene necessariamente (ed immancabilmente) un link, in quanto il profitto degli spammer che agiscono nel quadro dei programmi di affiliazione dipende, in sostanza, dal numero di utenti che andranno a cliccare sul link trasmesso attraverso l’e-mail indesiderata.
Ripartizione delle fonti di spam per paesi e per macro-regioni geografiche
Nel terzo trimestre dell’anno in corso sono considerevolmente aumentate le quote percentuali attribuibili ai messaggi e-mail «spazzatura» distribuiti nelle caselle di posta elettronica degli utenti della Rete dagli spammer insediati nella Repubblica Popolare Cinese (+ 6,7%) e negli Stati Uniti d’America (+ 15%). In sostanza, nel periodo analizzato nel presente report, dal territorio di Cina e USA è stato inviato oltre il 50% del volume complessivo dello spam mondiale.
Ovviamente, le quote relative agli altri paesi presenti nella speciale graduatoria trimestrale da noi stilata sono diminuite in maniera proporzionale.
Geografia delle fonti di spam - Ripartizione per paesi
Situazione relativa al terzo trimestre del 2012
I messaggi e-mail indesiderati provenienti dalla Cina sono stati principalmente diffusi verso la macro-regione Asiatico-Pacifica e verso i paesi situati nell’Europa Occidentale; lo spam generato entro i confini del territorio statunitense è stato invece attivamente distribuito sia sul continente americano, sia verso i paesi della suddetta area Asia-Pacifico. Le fonti geografiche dei flussi di spam che durante il terzo trimestre del 2012 hanno investito i paesi dell’Europa Orientale sono invece risultati riconducibili in particolar modo ad India e Vietnam. Allo stesso tempo, gli spammer insediati in territorio indiano hanno attivamente diffuso una considerevole quantità di messaggi di spam anche verso i paesi dell’Europa Occidentale; sottolineiamo, in effetti, come l’India sia andata ad occupare la seconda posizione della specifica graduatoria che tiene in considerazione esclusivamente le fonti geografiche dei messaggi e-mail “spazzatura” inviati agli utenti della Rete situati sul territorio dei paesi dell’Europa Occidentale.
Per ciò che riguarda la ripartizione delle fonti di spam per macro-regioni geografiche, a causa del notevole incremento del numero dei messaggi di spam inviati dal territorio degli Stati Uniti, risulta sensibilmente cresciuta la quota percentuale attribuibile allo spam diffuso nelle e-mail box degli utenti dal territorio di paesi situati nell’America Settentrionale (+ 15%). Così come nel trimestre precedente, l’indice relativo al continente asiatico permane tuttavia su valori decisamente elevati: quasi la metà dello spam globale è stata in effetti distribuita in Rete attraverso computer “fisicamente” ubicati in paesi asiatici. Come evidenzia il grafico qui di seguito riportato, nel terzo trimestre del 2012 l’Europa Occidentale ha sopravanzato in classifica l’Europa Orientale, collocandosi in tal modo al quarto posto della graduatoria ed avvicinandosi in maniera considerevole agli indici fatti complessivamente registrare dall’America Latina.
Geografia delle fonti di spam - Ripartizione per macro-regioni geografiche
Situazione relativa al terzo trimestre del 2012
Phishing
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel terzo trimestre del 2012 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo «Anti-phishing»
La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.
Osserviamo innanzitutto come la leadership della speciale classifica relativa alle organizzazioni più frequentemente bersagliate dagli attacchi di phishing sia nuovamente andata ad appannaggio della categoria «Social network», con una quota pari al 26,5%, ovvero + 0,6 punti percentuali rispetto all’analogo valore riscontrato nel trimestre precedente. La seconda posizione della graduatoria sopra riportata risulta occupata dalla categoria «Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari», con un indice pari al 22% del numero complessivo degli attacchi orditi dai phisher e rilevati dal nostro modulo Anti-phishing; tale quota risulta tuttavia inferiore di 1,6 punti percentuali al valore ascritto a tale categoria nel secondo trimestre dell’anno in corso.
Nonostante l’esiguità della quota relativa agli attacchi di phishing portati nei confronti degli utenti dei giochi online, è di particolare interesse rilevare come, per tutto il trimestre qui analizzato, siano state da noi registrate varie campagne di phishing aventi per scopo il furto delle credenziali degli utenti di <battle.net>. E’ del tutto lecito presupporre che la recente release sul mercato dei videogiochi online del titolo <WoW: Mists of Pandaria> possa ulteriormente ravvivare l’interesse dei phisher nei confronti degli account utilizzati dagli appassionati dei giochi online prodotti da Blizzard Entertainment.
Conclusioni e previsioni
Nel terzo trimestre del 2012, all’interno dei flussi di posta elettronica indesiderata, è stata da noi rilevata una vera e propria moltitudine di campagne di spam dedicate a tematiche di natura politica. Il numero di tali mailing di massa si è rivelato in costante crescita sino alla data delle elezioni presidenziali statunitensi, svoltesi il 6 novembre scorso. Si è ugualmente registrato un significativo aumento del numero delle campagne di spam nocivo volte a sfruttare l’elevato grado di interesse degli utenti della Rete nei confronti delle suddette elezioni.
Il progressivo abbandono, da parte degli “inserzionisti” pubblicitari, dei servizi tradizionalmente offerti dagli spammer e la conseguente migrazione verso nuove piattaforme di advertising contribuisce, involontariamente, a rendere lo spam ancor più “criminalizzato” del solito: il traffico dei messaggi e-mail “spazzatura” presenta difatti attualmente un elevato numero di pubblicità di prodotti illegali, ed una crescente quota di messaggi di spam fraudolento, o di natura malevola (e-mail contenenti pericolosi allegati nocivi). Lungo tutto l’arco dell’anno in corso abbiamo osservato due evidenti tendenze parallele: da un lato, la progressiva diminuzione della quota di messaggi e-mail indesiderati presenti nel traffico di posta elettronica; dall’altro, un lieve e costante aumento della quota percentuale relativa alle e-mail dannose. Con ogni probabilità, tali specifiche tendenze continueranno a manifestarsi anche nell’immediato futuro; la quota relativa al numero di messaggi di spam complessivamente presenti nei flussi di posta elettronica è destinata a diminuire, visto che coloro che offrono sul mercato prodotti e servizi del tutto legittimi ricorrono in misura sempre minore allo spam quale veicolo per reclamizzare le proprie attività.
Infine, per quel che riguarda la geografia delle fonti di spam, prevediamo che, con ogni probabilità, la quota attribuibile agli USA - considerevolmente aumentata nel corso del trimestre oggetto del presente report - non possa mantenersi su livelli talmente elevati; nel prossimo trimestre, l’indice relativo agli Stati Uniti dovrebbe quindi presentare un lieve decremento rispetto al valore fatto complessivamente registrare nel terzo trimestre del 2012. L’Asia, da parte sua, continuerà ad essere la macro-area geografica dalla quale verranno distribuite le maggiori quantità di spam verso le e-mail box degli utenti della Rete.
