Peculiaridades del mes
En septiembre los estafadores “nigerianos” han hecho envíos masivos de historias que mencionan un fenómeno que tiene amplia cobertura en los medios de comunicación, el virus ébola. šEl spam que se suele enviar por los días festivos esta vez no sólo estuvo dedicado al Día del Trabajo en EE.UU., sino también a las fiestas de fin de año, porque los spammers ya han empezado a ofrecer bienes y servicios para la Navidad. Una buena parte de los grandes envíos temáticos estuvo dedicada a la promoción de bienes y servicios mediante las redes sociales: los spammers prometían un flujo inmediato de nuevos clientes y aumento de las ganancias.
El virus ébola en el spam “nigeriano”
En julio aparecieron en los medios masivos de comunicación las primeras noticias sobre el brote del virus ébola confirmado en África. Mientras la atención de la comunidad mundial se concentraba en la lucha contra esta enfermedad y en evitar que se siga propagando, los estafadores la usaron para crear nuevos temas de cartas “nigerianas”.
En septiembre hemos descubierto varios envíos masivos en cuyo texto se mencionaba el virus ébola. Los estafadores no sólo usaban las leyendas populares en el spam “nigeriano”, escritas en nombre de personas que sufrían diferentes enfermedades, sino también historias reales pero sorprendentes. Así, en un mensaje supuestamente escrito por una rica habitante de Liberia que estaba muriendo enferma de ébola, se hacía un largo relato de que la enfermedad había segado la vida de todos sus hijos y el centro médico local se había negado a ayudarle. La autora estaba dispuesta a transferir más de un millón y medio de dólares al destinatario, con la condición de que éste a su vez dedicara el dinero a organizaciones de beneficencia. El texto del mensaje estaba escrito con gran detalle y explicaba la situación, algo que es muy raro encontrar en los mensajes “nigerianos”. Pero una exposición tan elaborada de una historia inventada es sólo un truco más para que el destinatario crea que el cuento es verdad e inicie correspondencia con los estafadores.
Los autores de otro envío fraudulento masivo se presentaban como empleados de la Organización Mundial de la Salud y trataban de ganarse la atención del usuario de una forma inusual para los mensajes “nigerianos”: invitando a una conferencia donde, entre otros temas, se discutiría el virus del ébola. Al destinatario no sólo se le proponía tomar parte en la conferencia como invitado, sino que también le prometían 350.000 euros y un automóvil como ayuda por trabajar como representante de la Organización Mundial de la Salud en Inglaterra. Si la víctima aceptaba, le pedían que envíe sus datos personales. Al parecer los estafadores confiaban en que la promesa de dinero y trabajo en una organización internacional disiparían las sospechas sobre la autenticidad del mensaje.
El spam festivo
A principios de septiembre se celebra en EE.UU. el día del trabajo y, por supuesto, los spammers no han ignorado este acontecimiento. Ya es tradicional que en las vísperas de las fiestas se trate de atraer usuarios con rebajas y liquidaciones. Pero esta vez las compañías que se dedican a la venta de cartuchos para impresoras no sólo hicieron rebajas por el día del trabajo, sino también por el inicio del año escolar. En el spam farmacéutico había publicidad de medicamentos para reducir peso, cuyas rebajas también estaban dedicadas a la fiesta.
En el tráfico de correo basura mundial los spammers también enviaron publicidad de bienes y servicios relacionados con la navidad. En los mensajes spam en inglés había propuestas de festejar el esperado acontecimiento a bordo de un barco y reservar los pasajes con los precios más bajos. Además, los spammers también proponían comprar los regalos ya desde septiembre y adquirir aparatos baratos directamente de los fabricantes chinos, como también reservar con anticipación el árbol de navidad.
Ganancias y publicidad en las redes sociales
Entre los envíos masivos más grandes del mes podemos destacar el spam que publicita diferentes formas de ganar dinero en Internet mediante las populares redes sociales. Lo más frecuente era que los spammers ofrecían, por un precio determinado, crear un perfil individual o un grupo en Twitter, Facebook o LinkedIn, diseñar una página según el tipo de empresa y los bienes que ésta vende, proporcionar los primeros suscritores y también rellenarla con un contenido inicial y empezar a promocionarla activamente. Después de esta serie de ajustes de la comunidad en la red social los autores del envío prometían un aumento brusco de clientes y, por lo tanto, de ventas para la compañía del cliente. Para obtener el servicio los usuarios tenían que dejar una solicitud siguiendo un enlace contenido en el mensaje.
No menos populares entre los spammers son los servicios de promoción profesional de negocios mediante la publicación de fotografías y vídeos en redes sociales especializadas. Los autores de estos envíos masivos también prometían proporcionar a sus clientes la cantidad necesaria de suscritores en, por ejemplo, la red Instagram, poner las fotografías de los bienes y al cabo de tres días lograr los primeros resultados de esta campaña publicitaria. Con frecuencia se les ofrecía a los destinatarios crear un videoclip con la presentación de la compañía o la publicidad de una mercancía y ponerlos en el popular videohosting YouTube. Los estafadores también proponían usar YouTube para ganar “cantidades indecentes de dinero”, invirtiendo sólo 40 minutos al día. Pero estos envíos en realidad eran publicidad de algún curso de marketing grabado en DVD. El disco con las instrucciones de cómo ganar dinero se podía adquirir siguiendo un enlace para llegar al sitio donde se hacía el pedido.
En septiembre también encontramos envíos masivos con invitaciones a seminarios temáticos y webinarios dedicados a la “ciencia” de la administración de grupos y comunidades en las redes sociales. Los autores de estos cursos prometían revelar todos los matices del trabajo del administrador de, por ejemplo, un grupo en Facebook o LinkedIn, lo que en el futuro garantizaría a los asistentes una entrada mensual estable en la red. Para inscribirse en el webinario había que seguir un enlace del mensaje.
En opinión de los autores de spam en otros idiomas, la fuente más popular para ganar nuevos clientes y aumentar ganancias es, por supuesto, la red social Facebook. Así, los spammers ofrecían usar las posibilidades de la red para promover su propia publicidad, incrustar redirecciones especiales a cualquier post y fotografía, porque de esta manera la cantidad de clientes potenciales dependería de la calidad del contenido y del deseo de los usuarios interesados en seguir los enlaces publicados en las comunidades. Con este objetivo, por ejemplo, proponían usar un software especial que se podía comprar de la forma indicada en los envíos y por un precio determinado. En los meses siguientes se crearon sitios con una descripción detallada del software que en sus nombres contenían palabras como “clientes”, “ganancias” y “Facebook”.
Spam para coleccionistas
Entre los envíos masivos más interesantes del mes se puede destacar el spam destinado a y enviado por coleccionistas. A los usuarios de habla inglesa se les proponía recibir un folleto gratuito de medallas británicas de la Primera Guerra Mundial. Los mensajes con estas generosas propuestas llegaban firmados por la organización de beneficencia SSAFA, creada para apoyar a los ex combatientes de las fuerzas armadas británicas y sus parientes. Pero en el sitio oficial de la organización no había ninguna información sobre esta promoción y los comentarios descubiertos en la red indicaban que el envío era indeseable. El enlace de unos de los mensajes llevaba a una página con un formulario dónde se le pedía al usuario dejar sus datos de contacto, entre ellos su número de teléfono. De esta forma se suelen recolectar datos personales que luego se usarán para enviar publicidad. Por ejemplo, los clientes que dejaron sus números de teléfono pueden recibir llamadas insistentes que proponen comprar diferentes bienes y servicios.
Otro tipo más de envío masivo se hizo en nombre de cierto coleccionista. En sus mensajes contaba sobre su pasatiempo, que consistía en coleccionar insignias y pegatinas con logotipos de diferentes organizaciones, y pedía a diferentes compañías que le envíen ejemplares para su colección. Y a pesar de que lo más probable es que estos mensajes no sean fraudulentos, eran no solicitados y por lo tanto se clasificaron como spam.
Estadísticas
Porcentaje de spam en el tráfico postal
Porcentaje de spam en el tráfico postal
En septiembre el promedio del spam en el tráfico de correo constituyó el 66,5%, un 0,7% menos que los índices del mes anterior. Durante septiembre la cantidad de mensajes no solicitados se ha ido reduciendo a un ritmo sostenido: si a principios de mes el porcentaje de spam constituía el 69,3%, a fin de mes llegó al 63,1%.
Países fuente de spam
Según los resultados de septiembre de 2014, los tres países que difundieron más spam en todo el mundo fueron los siguientes. El primer puesto lo sigue teniendo EE.UU. (12%), pero en comparación con el mes anterior el índice de este país se ha reducido en casi un 4%. Vietnam (9,3%) ha subido al segundo puesto (del cuarto que ocupaba) y la cantidad de spam enviado desde este país ha crecido en un 4,6%. En septiembre el tercer puesto le pertenece a Rusia (5,8%), que debido a una pequeña reducción en la cantidad de spam ha bajado una posición.
Países fuente de spam
Más abajo en la lista está China (5,6%), que ocupa el tercer lugar según los resultados de agosto. El mes pasado su índice bajó en casi un uno por ciento. En el quinto puesto está India (4,7%), que en agosto ocupaba el décimo puesto de los países fuente de spam, con un índice que creció en casi un 2%.
En Corea del Sur también se ha observado un crecimiento de la cantidad de spam (3,2%), y según los resultados de septiembre este país se ubica en el séptimo puesto, cinco posiciones más arriba y un 1,3% más que sus resultados de agosto. En Alemania, por el contario, se ha constatado una reducción del índice (2,9%), con lo que el país ha bajado del sexto al noveno puesto, después de perder un 0,7%. El décimo y último puesto lo ocupa Taiwán con un índice del 2,5% de spam enviado. También un poco más del 2% de spam se envió desde países como Francia, España e Italia.
Países fuente de spam en Europa
Entre los países-fuente del spam recibido en Europa, según los resultados de septiembre el primer puesto lo ocupa Vietnam (11,1%). En el segundo puesto está EE.UU. (9,1%). El tercer puesto lo ocupa Rusia con un índice del 6%.
Le siguen China (5,3%), India (4,5%), Argentina (3,7%) y Corea del Sur (3,5%). Cerca del 3% del spam que llegó a Europa lo enviaron desde Brasil, Alemania y Ucrania. Esta última ocupa el décimo puesto en nuestra lista.
En la lista también están presentes Taiwán (2,7%), España (2,6%), Italia (2,5%) y México (2,3%). Estos países ocupan los puestos del 11 al 14 respectivamente. En el puesto 15 se ubicó Irán, con un índice de spam enviado del 2,2%. Los índices de los demás países, según los resultados del mes, no superaron el 2%.
Adjuntos maliciosos en el correo
En septiembre el TOP 10 de los programas maliciosos propagados por correo es el siguiente:
TOP 10 de programas maliciosos propagados por correo electrónico
El primer, sexto y noveno puestos los ocupan los representantes de la familia de troyanos-descargadores Dofoil: Trojan-Downloader.Win32.Dofoil.dx, Trojan-Downloader.Win32.Dofoil.dy y Trojan-Downloader.Win32.Dofoil.dz.š El malware de este tipo descarga otros programas maliciosos en el equipo del usuario, que después roban diversa información personal (sobre todo, contraseñas) y la envían a los delincuentes.
En el segundo puesto está el conocido Trojan-Spy.HTML.Fraud.gen. Recordamos que es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías de software, etc.
El cuarto puesto lo ocupa Trojan-Banker.HTML.PayPal.b, una página HTML camuflada como un formulario de PayPal. Al destinatario de un mensaje con este adjunto se le propone rellenar un formulario para actualizar su perfil de PayPal, porque supuestamente se está introduciendo un nuevo sistema de seguridad online. En el formulario hay campos como: E-Mail Adresse, PayPal passwort, Vollständiger Name, Nachname der Mutter (Fakultativ), Geburtsdatum, Telefonnummer, Adresse, Stadt, Land, Postzahl, Kartennummer, Verfallsdatum, Kartenprüfnummer, VBV Passwort / MasterCard. Todo parece indicar que la estafa está dirigida a los dueños alemanes de cuentas de PayPal.
En el quinto y octavo puesto se ubican Trojan-Downloader.MSWord.Agent.ba y Trojan-Downloader.MSWord.Agent.bf respectivamente. Ambos son ficheros *.doc que contienen un macro escrito en Visual Basic for Applications (VBA) que se ejecuta al abrirse el documento. El macro en sí descarga y ejecuta malware, por ejemplo, de los representantes de la familia Andromeda.
Cierra la lista Trojan.Win32.Vundo.adc. Este programa malicioso descarga otros tipos de malware, por ejemplo Trojan-Banker.Win32.Fibbit, un troyano que compromete los datos que pasan por las aplicaciones bancarias. El troyano intercepta las pulsaciones de teclas, copia los datos del portapapeles, busca ficheros de certificados con extensión .jks, hace capturas de pantalla y trata de leer el fichero “keys.dat”. šTodos los datos obtenidos los comprime en un archivo CAB y los envía al servidor del delincuente.
Distribución de las reacciones del antivirus de correo según países
Alemania, Inglaterra y EE.UU. siguen siendo los líderes por la cantidad de detecciones del antivirus de correo, y todo el tiempo intercambian puestos. šEn septiembre Alemania (9,11%) resultó en el primer puesto, en el segundo está Inglaterra (8,45%) y EE.UU. en el tercero (8,26%).
Rusia (2,59%) bajó del cuarto puesto (adonde llegó inesperadamente en agosto) al decimotercero, perdiendo un 4,14%.
Peculiaridades del spam malicioso
En septiembre el tema de las vacancias (y los despidos) estuvo presente en los envíos masivos que contenían adjuntos maliciosos. Hemos registrado un envío masivo en el que se informaba al destinatario de que su contrato de trabajo con la organización estaba congelado (el nombre de la organización cambiaba de mensaje en mensaje) por haber violado la política interna de la compañía. En los mensajes hasta se aducían los números y las fechas de los documentos reglamentarios de la compañía que supuestamente había violado. En el mensaje también se indicaba que se había hecho advertencias por escrito al destinatario, en la última de las cuales se le exigía tomar medidas para corregir su comportamiento. Y, como no las había tomado, esto había provocado el congelamiento del contrato laboral.
Para apelar esta notificación el destinatario tenía que recurrir a un abogado en un plazo limitado. El mensaje tenía adjunto un archivo con documentación sobre los reglamentos violados que el destinatario tenía que abrir para leer.š šEn realidad, en el adjunto había un representante de la familia Trojan-Downloader.Win32.Cabby. Este programa malicioso descarga otro malware en el equipo del usuario, incluyendo diferentes modificaciones de la familia Zbot.
Phising
Según los resultados de septiembre, en los equipos de los usuarios de los productos de Kaspersky Lab se registraron 18 779 357 reacciones del sistema antiphishing, 13 874 415 más que en agosto. Al terminar el periodo de tranquilidad de verano, relacionado con la temporada de vacaciones y la restauración de los negocios, la cantidad de phishing baja. También hay que destacar que en septiembre tienen lugar diferentes presentaciones y otros sucesos de envergadura en las compañías y con frecuencia en vísperas de estos acontecimientos crece la actividad de los phishers, lo que conlleva al crecimiento temporal de la cantidad de intentos de fraude a finales del verano.
En septiembre en la estadística de países atacados por los phishers el primer lugar lo vuelve a ocupar Brasil (17,8%), cuyo índice ha bajado en un 1,7%. Australia (11,1%) ha bajado al tercer puesto. Según los resultados del mes el tercer puesto lo ocupa India (13,4%). En el cuarto y quinto puestos respectivos se ubican los Emirato Árabes Unidos (10,5%) y Francia (10,4%).
Territorios de los ataques phishing*, septiembre de 2014
* Porcentaje de usuarios en cuyos equipos reaccionó el sistema antiphishing, del total de usuarios de los productos de Kaspersky Lab en el país.
TOP 10 de países según la cantidad de usuarios atacados:
País | % de usuarios | |
1 | Brasil | 17,8 |
2 | India | 13,4 |
3 | Australia | 11,2 |
4 | Emiratos Árabes Unidos | 10,5 |
5 | Francia | 10,4 |
6 | Canadá | 9,9 |
7 | China | 9,9 |
9 | Colombia | 9,4 |
8 | Bangladesh | 9,0 |
10 | Inglaterra | 8,0 |
Organizaciones blanco de los ataques
La estadística de los blancos de los ataques de los phishers está basada en las reacciones del componente heurístico del sistema Antiphishing. El componente heurístico del sistema “Antiphishing reacciona cuando el usuario sigue un enlace a una página phishing y la información sobre esta página todavía no está presente en las bases de datos de Kaspersky Lab. Carece de importancia de qué forma se haga el paso: sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o, por ejemplo, como resultado de las acciones de un programa malicioso. Como resultado de la reacción, el usuario ve en su navegador un banner que le advierte sobre la posible amenaza.
Según los resultados de la estadística de septiembre, los portales de correo y búsqueda (24,77%) siguen liderando la estadística de las organizaciones atacadas por los phishers con un índice que ha crecido en un 6,1%. La cantidad de ataques contra redes sociales (20,20%) ha aumentado en un 2,8%.
Distribución de organizaciones atacadas por los phishers*, por categorías, septiembre de 2014
El phishing financiero causó el 36,97% de las reacciones del componente heurístico del sistema antiphishing, un 1,7% más que el mes anterior. A la categoría “Bancos” le corresponde el 18,28% de las detecciones, con un índice que creció sólo en un 0,5%. Le siguen las categorías “Tiendas online” (11,35%, +1,4%) y “Sistemas de pago” (7,34%, +0,5%).
Las 3 organizaciones más atacadas
Organización | % de reacciones | |
1 | 11,16% | |
2 | Yahoo! | 7,10% |
3 | 6,31% |
En septiembre en el TOP 3 de las organizaciones más atacadas por los phishers la red social Facebook ascendió al primer lugar , con un índice que creció en un 11,1%. El segundo puesto, con un índice del 7,1% lo ocupa el sistema de búsqueda Yahoo!. La cantidad de ataques contra los servicios de Google (6,3%) se han reducido en un 50% y según los resultados del mes la compañía cierra la lista de organizaciones atacadas.
En el flujo de spam de septiembre hemos detectado envíos de phishing que tienen como objetivo robar los logins y contraseñas de las cuentas en la popular red de comercio Alibaba.com. En sus mensajes los estafadores trataban de convencer a los usuarios de que era necesario actualizar los datos de sus cuentas o confirmar su uso, mencionando la implementación de un nuevo sistema de defensa y el servicio técnico de rutina de la cuenta. En el diseño de las notificaciones falsificadas se usaba el logotipo oficial y la firma de la compañía Alibaba.com, los colores del texto y el mensaje estándar del antivirus de que no se habían detectado amenazas en el mensaje. Como nombre del remitente se indicaba Alibaba.com, y en su dirección se usaban sobre todo nombres de dominio legítimos. Pero al observar con más detalle algunos envíos masivos se pueden descubrir errores ortográficos en las direcciones de los remitentes y los nombres de dominio, que evidentemente no pertenecen a la compañía.
Las páginas phishing estaban metidas directamente en los mensajes falsos y tenían prácticamente el mismo diseño. El usuario no solo tenía que rellenar los campos con su dirección de correo electrónico y contraseña, sino también con el nombre de la compañía, su país y además indicar su número de teléfono móvil. De esta manera los estafadores también recopilaban información adicional sobre las víctimas, que podían después usar para diferentes objetivos.
Conclusión
La cantidad de spam en el tráfico mundial de correo en junio ha bajado en un 0,7% y constituido el 66,5%. Entre los países-fuente del spam difundido en todo el mundo los líderes de septiembre son EE.UU. (12%), Vietnam (9,3%) y Rusia (5,8%).
En septiembre encabeza lista de programas maliciosos propagados por correo electrónico un troyano-descargador de la familia Dofoil, usado para descargar otros programas maliciosos en el equipo de la víctima.
Según los resultados de septiembre la cantidad de detecciones del sistema Antiphishing fue de 18 779 357. Según la estadística, el 17,8% de los ataques afectó a los usuarios de Brasil. Australia, que en agosto ocupaba el primer puesto, ha bajado a tercero (11,1%). La estadística de las organizaciones atacadas por los phishers sigue estando encabezada por los portales de correo y búsqueda (24,7%). El índice del phishing financiero subió en un promedio de 1,7% y alcanzó el 36,9%. En el TOP 3 de las organizaciones más atacadas por los phishers ha ocurrido un intercambio de puestos, y la red social Facebook ha ocupado el primer puesto (11,1%).
En septiembre los estafadores “nigerianos” han abandonado los acontecimientos en Ucrania para concentrarse en los problemas de salud, en particular del virus ébola. Noticias sobre las infecciones que causa aparecen constantemente en los medios de comunicación.
En los envíos publicitarios había ofertas de bienes y servicios dedicados al Día del Trabajo en EE.UU., como también a la Navidad y Año Nuevo. Durante los próximos meses, hasta diciembre, cuando la cantidad de spam de temática navideña y de año nuevo alcance su máximo, pronosticamos el aumento de la cantidad de envíos de spam dedicados a estas fiestas.
El spam en septiembre de 2014