Artigo traduzido e adaptado de: https://securelist.com/spam-report-2019/96527/, acesso em 08/04/2020

Por Maria Vergelis , Tatyana Shcherbakova , Tatyana Sidorina , Tatyana Kulikova em8 de abril de 2020. 10:00

Figuras do ano

  • A parcela de spam no tráfego de correio foi de 56,51%, 4,03 pp a mais do que em 2018.
  • A maior fonte de spam deste ano foi a China (21,26%).
  • 44% dos e-mails com spam tinham menos de 2 KB de tamanho.
  • O spam malicioso foi detectado com mais frequência com o veredicto Exploit.MSOffice.CVE-2017-11882.
  • O sistema anti-phishing foi acionado 467.188.119 vezes.
  • 17% dos usuários únicos encontraram phishing.

Tendências do ano

Cuidado com as novidades

Em 2019, os invasores foram mais ativos do que o habitual na exploração dos principais eventos esportivos e de filmes para obter acesso aos dados financeiros ou pessoais dos usuários. Estréias de programas de TV e filmes e transmissões esportivas foram usadas como isca para quem quer economizar, assistindo a recursos “não oficiais”.

Uma pesquisa por “Assista ao X mais recente de graça” (onde X = filme dos Vingadores , temporada de Game of Thrones , jogo da Stanley Cup, US Open etc.) retornou links para sites que oferecem a oportunidade de fazer exatamente isso. Ao clicar nesses recursos, a transmissão realmente começou, apenas para parar após alguns minutos. Para continuar visualizando, o usuário foi solicitado a criar uma conta gratuita (apenas um endereço de e-mail e senha foram necessários). No entanto, quando o botão Continuar foi clicado, o site solicitou confirmação adicional.

E não apenas informações antigas, mas detalhes do cartão bancário, incluindo o código de segurança de três dígitos (CVV) no verso. Os administradores do site garantiram que os fundos não seriam debitados do cartão, mas que esses dados eram necessários apenas para confirmar a localização do usuário (e, portanto, o direito de visualizar o conteúdo). No entanto, em vez de continuar a transmissão, os golpistas simplesmente embolsaram os detalhes.

Novos gadgets também foram implantados como isca. Os cibercriminosos criaram páginas falsas imitando os serviços oficiais da Apple. O número de sites falsos aumentou bastante depois que a empresa lançou seus novos produtos. E enquanto a Apple estava apenas se preparando para lançar o próximo gadget, os fraudadores estavam se oferecendo para “vendê-lo” àqueles com mãos com coceira. Tudo o que a vítima precisava fazer era seguir um link e inserir suas credenciais AppleID – o objetivo dos atacantes.

O preço da fama: atacantes exploram recursos populares

Em 2019, os golpistas encontraram novas maneiras de explorar recursos populares e redes sociais para espalhar spam e vender bens e serviços inexistentes. Eles usaram ativamente os comentários do YouTube e Instagram para colocar anúncios e links para páginas potencialmente maliciosas e criaram várias contas de mídia social que eles promoveram comentando as postagens de blogueiros populares.

Para maior credibilidade, eles deixaram muitos comentários falsos em postagens sobre tópicos importantes. À medida que a conta ganhava seguidores, começou a postar mensagens sobre promoções. Por exemplo, uma venda de produtos de marca a preços baixos. As vítimas receberam uma imitação barata ou simplesmente perderam seu dinheiro.

Um esquema semelhante foi usado para promover vídeos on-line de enriquecimento rápido, juntamente com críticas exuberantes de clientes “recém-liberados”.

Outro golpe envolveu contas falsas de Instagram de celebridades. As “estrelas” pediram aos fãs que fizessem uma pesquisa e recebessem um pagamento em dinheiro ou a chance de participar de um sorteio. Naturalmente, uma pequena taxa inicial era paga por essa oportunidade imperdível … Depois que os cibercriminosos receberam o dinheiro, a conta simplesmente desapareceu.

Além de distribuir links por meio de comentários nas redes sociais, os golpistas utilizaram outro método de entrega na forma de serviços do Google: convites para reuniões enviadas pelo Google Agenda ou notificações do Google Fotos de que alguém acabou de compartilhar uma foto foram acompanhados por um comentário dos atacantes com links promoções falsas, pesquisas e brindes.

Outros serviços do Google também foram usados: links para arquivos no Google Drive e Google Storage foram enviados dentro de e-mails fraudulentos, que nem sempre os filtros de spam conseguem detectar. Ao clicar nele, geralmente é aberto um arquivo com adware (por exemplo, produtos farmacêuticos falsos) ou outro link que leva a um site de phishing ou a um formulário para coletar dados pessoais.

Embora o Google e outros estejam constantemente trabalhando para proteger os usuários dos golpistas, os últimos estão sempre encontrando novas brechas. Portanto, a principal proteção contra esses esquemas é prestar muita atenção às mensagens de remetentes desconhecidos.

Transações maliciosas

No primeiro trimestre, os usuários do Automated Clearing House (ACH), um sistema eletrônico de transferência de fundos que facilita pagamentos nos EUA, foram vítimas de fraudadores: registramos correspondências de notificações falsas do ACH sobre o status de um pagamento ou dívida. Ao clicar no link ou abrir o anexo, o usuário arriscava infectar o computador com malware.

Alguém pediu bitcoin?

A criptomoeda continua sendo interessante para os golpistas. Juntamente com as falsificações padrão das trocas de criptomoedas conhecidas, os cibercriminosos começaram a criar os seus próprios: esses recursos prometem taxas de câmbio lucrativas, mas roubam dados pessoais ou dinheiro.

Criptomoedas e chantagem

Se em 2018 os cibercriminosos tentaram chantagear os usuários alegando ter material comprometedor obtido por malware, em 2019 os e-mails começaram a chegar de um agente da CIA (o nome variava) supostamente lidando com um caso aberto contra o destinatário da mensagem referente ao armazenamento e distribuição de imagens pornográficas de menores.

O caso, alegou o e-mail, fazia parte de uma operação internacional para prender mais de 2.000 suspeitos de pedofilia em 27 países do mundo. No entanto, o “agente” sabia que o destinatário era um indivíduo bem-sucedido, com reputação de proteção, e por US $ 10.000 em bitcoin estaria disposto a alterar ou destruir o dossiê (todas as informações sobre a vítima para dar credibilidade ao e O e-mail foi coletado antecipadamente em redes sociais e fóruns). Para alguém genuinamente com medo das possíveis consequências, esse seria um preço pequeno a pagar.

As pessoas jurídicas se encontravam em uma situação ainda mais desesperadora diante de ameaças semelhantes. No entanto, para eles, não se tratava de sextortion, mas de spam. Os chantagistas enviaram uma mensagem para a empresa usando seu endereço de e-mail público ou formulário de feedback on-line, no qual exigiram um resgate em bitcoin. Se recusados, os atacantes ameaçavam enviar milhões de e-mails de spam em nome da empresa. Isso, garantiram os cibercriminosos, levaria o Spamhaus Project a reconhecer o recurso como spammer e bloqueá-lo para sempre.

Setor corporativo na mira

A tendência crescente de ataques ao setor corporativo se reflete não apenas nas tentativas de chantagear as empresas. A reputação de muitas empresas foi comprometida por envios de spam por meio de formulários de feedback. Tendo usado essas formas anteriormente para atacar as caixas de correio dos funcionários da empresa, em 2019 os cibercriminosos desenvolveram seus métodos.

Como tal, as mensagens sobre o registro bem-sucedido em um site específico foram recebidas por pessoas que nunca ouviram falar dele. Depois de encontrar uma falha de segurança no site, os spammers usaram um script para ignorar o sistema CAPTCHA e registrar usuários em massa através do formulário de feedback. No campo Nome de usuário, os atacantes inseriram o texto ou o link da mensagem. Como resultado, a vítima cujo endereço foi usado recebeu um e-mail de confirmação de registro de um remetente legítimo, mas contendo uma mensagem dos golpistas. Além disso, a própria empresa não fazia ideia de que isso estava acontecendo.

Uma ameaça muito mais séria veio de correspondências mascaradas como notificações automáticas de serviços usados ​​para compilar listas de correspondência legítimas: as mensagens dos golpistas foram cuidadosamente disfarçadas de notificações sobre novas mensagens de voz (alguns produtos comerciais têm o recurso de troca de mensagens de voz) ou sobre mensagens recebidas. -mails presos na fila de entrega. Para acessá-los, o funcionário teve que passar por um processo de autenticação, após o que as credenciais da conta corporativa acabaram nas mãos dos atacantes.

Os golpistas criaram novos métodos para obter dados confidenciais de funcionários inocentes da empresa. Por exemplo, enviando e-mails solicitando confirmação urgente de detalhes da conta corporativa ou informações de pagamento com um link fornecido convenientemente. Se o usuário engoliu a isca, os dados de autenticação da conta foram direto para os cibercriminosos.

Outro ataque direcionado ao setor corporativo empregou um esquema mais complexo: os invasores tentaram enganar os destinatários de e-mails a pensar que a gerência da empresa estava oferecendo um aumento salarial em troca de uma avaliação de desempenho.

A mensagem parecia vir do RH e continha instruções detalhadas e um link para um formulário de avaliação falso. Porém, antes de prosseguir com o procedimento, o destinatário precisou inserir alguns detalhes (na maioria dos casos, foi especificado que o endereço de email precisava ser corporativo). Depois de clicar no botão Entrar ou Avaliação, as credenciais inseridas foram devidamente encaminhadas aos atacantes, concedendo-lhes acesso a correspondência comercial, dados pessoais e provavelmente informações confidenciais também, que posteriormente poderiam ser usadas para chantagem ou vendidas aos concorrentes.

Um esquema mais simples envolvia o envio de e-mails de phishing supostamente de serviços usados ​​pela empresa. As mais comuns foram as notificações falsas das plataformas de recrutamento de RH.

Estatísticas: spam

Proporção de spam no tráfego de mensagens

A parcela de spam no tráfego de e-mails em 2019 aumentou 4,03 pp, para 56,51%.

The share of spam in mail traffic in 2019 increased by 4.03 p.p. to 56.51%.

Proporção de spam no tráfego de correio global, 2019 (download)

O menor valor foi registrado em setembro (54,68%) e o maior em maio (58,71%).

Fontes de spam por país

Em 2019, como no ano anterior, a China manteve sua coroa como o principal país originário de spam. Sua participação cresceu significativamente em relação ao ano anterior (9,57 pp) para 21,26%. Permanece à frente dos EUA (14,39%), cuja participação aumentou 5,35 pp. Em terceiro lugar, foi a Rússia (5,21%).

A quarta posição foi para o Brasil (5,02%), apesar de cair 1,07 pp. O quinto lugar em 2019 foi reivindicado pela França (3,00%) e o sexto pela Índia (2,84%), que se classificou da mesma forma que no ano anterior. O Vietnã (2,62%), quarto no período do relatório anterior, caiu para o sétimo.

O TOP 10 é completado pela Alemanha, caindo do terceiro para o oitavo (2,61%, queda de 4,56 pp), Turquia (2,15%) e Cingapura (1,72%).

Fontes de spam por país, 2019 (download)

Tamanho de email de spam

Em 2019, a participação de e-mails muito pequenos continuou a crescer, mas menos drasticamente do que no ano anterior – em apenas 4,29 pp, para 78,44%. Enquanto isso, o compartilhamento de e-mails com tamanho de 2 a 5 KB diminuiu em relação a 2018 em 4,22 pp, para 6,42%.

E-mails de spam por tamanho, 2019 (download)

O compartilhamento de e-mails maiores (10 a 20 KB) mudou significativamente, diminuindo 0,84 pp. Mas havia mais mensagens indesejadas com tamanho de 20 a 50 KB: essas mensagens representavam 4,50% (+1,68 pp). Além disso, o número de 50 Os e-mails com tamanho de 100 KB aumentaram quase 1 pp, totalizando 1,81%.

Anexos de correio maliciosos

Famílias de malware

TOP 10 famílias de malware, 2019 (baixar)

Em 2019, como no ano anterior, os objetos maliciosos Exploit.Win32.CVE-2017-11882 foram os malware mais comumente encontrado (7,24%). Eles exploraram uma vulnerabilidade no Microsoft Office que permitia que código arbitrário fosse executado sem o conhecimento do usuário.

Em segundo lugar, está a família Trojan.MSOffice.SAgent (3,59%), cujos membros também atacam os usuários do Microsoft Office. Esse tipo de malware consiste em um documento com um script VBA interno que carrega secretamente outros malwares usando o PowerShell quando o documento é aberto.

A família Worm.Win32.WBVB (3,11%), que inclui arquivos executáveis ​​escritos no Visual Basic 6 e classificados como não confiáveis ​​pela KSN, subiu do quarto lugar na classificação para o terceiro.

O Backdoor.Win32.Androm.gen (1,64%), que ficou em segundo lugar no período do relatório anterior, caiu para a quarta posição. Esse backdoor modular é usado com mais frequência para baixar malware na máquina da vítima.

O quinto lugar em 2019 foi conquistado pela família Trojan.Win32.Kryptik (1,53%). Esse veredicto é atribuído a cavalos de Troia que usam antiemulação, anti-depuração e ofuscação de código para dificultar a análise.

O Trojan.MSIL.Crypt.gen (1,26%) ficou em sexto lugar, enquanto o Trojan.PDF.Badur (1,14%) – um PDF que direciona o usuário para um site potencialmente perigoso – subiu para o sétimo.

A oitava posição caiu para outro documento malicioso do DOC / DOCX com um script malicioso do VBA – Trojan-Downloader.MSOffice.SLoad.gen (1,14%), que, quando aberto, pode baixar o ransomware no computador da vítima.

Em nono lugar, está o Backdoor.Win32.Androm , e o suporte da tabela é o Trojan.Win32.Agent (0,92%).

Países segmentados por correspondências maliciosas

Como no ano anterior, a Alemanha ficou em primeiro lugar em 2019. Sua participação permaneceu praticamente inalterada: 11,86% de todos os ataques (+0,35 pp). O segundo lugar foi reivindicado conjuntamente pela Rússia e pelo Vietnã (5,77% cada) – a Rússia ocupou essa posição no período do relatório anterior, enquanto a ascensão do Vietnã para o TOP 3 veio da sexta posição.

Países segmentados por correspondências maliciosas, 2019 (download)

Atrás de apenas 0,2 pp está a Itália (5,57%), enquanto os Emirados Árabes estão em quinto lugar (4,74%), o Brasil em sexto (3,88%) e a Espanha em sétimo (3,45%). O TOP 10 é completado pela Índia praticamente de pescoço e pescoço (2,67%), México (2,63%) e Malásia (2,39%).

Estatísticas: phishing

Em 2019, o sistema antiphishing foi acionado 467 188 119 vezes nos computadores dos usuários da Kaspersky como resultado de tentativas de redirecionamento de phishing (15.277.092 a menos que em 2018). No total, 15,17% dos nossos usuários foram atacados.

Organizações sob ataque

A classificação das organizações alvo de ataques de phishing baseia-se no acionamento do componente heurístico no sistema antiphishing nos computadores dos usuários. Este componente detecta todas as instâncias em que o usuário tenta seguir um link em um email ou na Internet para uma página de phishing nos casos em que esse link ainda não foi adicionado aos bancos de dados da Kaspersky.

Classificação das categorias de organizações atacadas por phishers

Em contraste com 2018, neste período de relatório, a maior parte dos gatilhos de componentes heurísticos caiu para a categoria Bancos. Sua fatia aumentou 5,46 pp, para 27,16%. O líder do ano passado, a categoria Portais Globais da Internet, caiu um degrau para o segundo. Em relação ao ano passado, sua participação diminuiu 3,60 pp (21,12%). A categoria Sistemas de Pagamento ficou em terceiro lugar, com participação de 2019 em 16,67% (-2,65 pp).

Distribuição de organizações sujeitas a ataques de phishing por categoria, 2019 (download)

Geografia do ataque

Países por compartilhamento de usuários atacados

O líder desse período em porcentagem de usuários únicos atacados do número total de usuários foi Venezuela (31,16%).

Porcentagem de usuários em cujos computadores o sistema antiphishing foi acionado de todos os usuários da Kaspersky no país, 2019 (download)

Os 10 principais países por parcela de usuários atacados

Os 10 principais países por parcela de usuários atacados

O líder do ano passado, o Brasil (30,26%), ficou em segundo lugar, perdendo 1,98 pp e cedendo o primeiro lugar à Venezuela (31,16%), que subiu da nona posição, ganhando 11,27 pp. (25,96%).

Embrulhar

Estréias de TV, eventos esportivos de alto nível e o lançamento de novos gadgets foram explorados por golpistas para roubar dados ou dinheiro pessoal dos usuários.

Na busca de novas maneiras de contornar os filtros de spam, os invasores estão desenvolvendo novos métodos para entregar suas mensagens. Este ano, eles fizeram uso ativo de vários serviços do Google, além de redes sociais populares (Instagram) e sites de hospedagem de vídeos (YouTube).

Os cibercriminosos continuam usando o tópico de finanças em esquemas que visam obter acesso aos dados pessoais dos usuários, infectar computadores com malware ou roubar fundos das contas das vítimas.

A principal tendência de 2019 foi o aumento do número de ataques ao setor corporativo. Esquemas fraudulentos usados ​​anteriormente para atacar repetidamente usuários comuns mudaram de direção, adicionando novos meandros às táticas de cibercriminosos.

Artigo traduzido e adaptado de: https://securelist.com/spam-report-2019/96527/, acesso em 08/04/2020