Agosto en cifras
- En relación al mes de julio, el porcentaje de mensajes spam en el tráfico de correo disminuyó en un 1,6%, alcanzando un promedio del 70,2%.
- En relación al mes de julio, el porcentaje de mensajes phishing en el tráfico de correo no ha cambiado, alcanzando el 0,01%.
- En agosto, el 3,9% de los mensajes de correo contenía archivos maliciosos.
Principales temas del spam
El final del verano es la época más peligrosa
El spam en el verano tiene un componente delictivo bastante significativo. El porcentaje de la publicidad de artículos ilegales con los programas asociados aumenta, así como el porcentaje de mensajes fraudulentos con códigos maliciosos. Al mismo tiempo, los distribuidores de spam, o spammers, se dedican a promocionar de forma activa sus propios servicios y los de otros ciberdelincuentes. A nivel mundial, la actividad delictiva del spam alcanza su pico en el mes de agosto.
Incremento en el porcentaje de adjuntos maliciosos
El porcentaje de adjuntos maliciosos en mensajes de correo había aumentado notablemente en el mes de julio. En ese mes, estos mensajes representaron el 4,5% del total del tráfico de correo. En el mes de agosto, esta cifra disminuyó, pero la cantidad de adjuntos maliciosos permaneció elevada: el 3,9% del tráfico de correo.
Los ciberdelincuentes recurrieron a un arsenal de trucos para propagar sus adjuntos maliciosos. En general, no resulta muy difícil identificar los trucos favoritos de los distribuidores de programas maliciosos, pero en el transcurso del mes pasado, el tráfico malicioso fue muy heterogéneo.
Entre las novedades del arsenal de los ciberdelincuentes, nos referiremos a un truco usado hasta ese momento exclusivamente por los autores de ataques phishing: los spammers amenazan al usuario con bloquear su tarjeta de débito para obligarlo a descargar el adjunto con una supuesta información.
Entre los recientes descubrimientos de los spammers, están las falsas notificaciones relacionadas con reservas de habitaciones de hotel. Este truco apareció en el mes de julio y se usó durante todo el verano. Debemos señalar que los pasajes electrónicos falsos de aerolíneas no aparecieron en absoluto durante el mes de agosto.
Para despertar la curiosidad de los usuarios se emplearon trucos realmente “abstractos”. Como ejemplo citamos el de un mensaje corto relacionado con el escaneado de un documento o los detalles de una transferencia.
Los viejos trucos siguen girando en torno a mensajes maliciosos, o sobre un paquete no entregado por una famosa empresa de mensajería, o los falsos mensajes de Google sobre la recepción de un CV de parte de un solicitante de trabajo.
Incluso los mismos ciberdelincuentes se pierden en esta maraña de trucos: en la imagen de arriba, podemos ver que el mensaje fraudulento sobre la no entrega de un paquete de parte de DHL contiene la dirección Booking.com en el campo “De”, mientras que en un mensaje supuestamente enviado por Bank of America, Fedex aparece en el campo del remitente. El spam en el mes de agosto tuvo muchos errores de este tipo.
Uso de servicios legítimos
Hace ya mucho tiempo que los ciberdelincuentes recurren a servicios legítimos para propagar sus mensajes fraudulentos. Por una parte, al colocar contenidos indeseables en fuentes legítimas, los ciberdelincuentes se exponen a la reacción rápida de los responsables de neutralizar incidentes y a la eliminación de estos contenidos. Pero por otra parte, las ventajas son numerosas: los servicios legítimos gratuitos están disponibles para todos, incluso para los ciberdelincuentes. El uso de enlaces hacia recursos lícitos permite burlar los mecanismos de seguridad antispam y el usuario no desconfía al activar un enlace que supuestamente lo conducirá a un sitio conocido.
En el mes de agosto detectamos de nuevo mensajes phishing cuyo contenido, en la mayoría de los casos, se encontraba en google.docs. Debemos mencionar una novedad en el segmento de los mensajes fraudulentos: los spammers nigerianos han comenzado a enviar sus mensajes a través del calendario de Yahoo.
El mensaje de arriba no sólo contiene el enlace hacia un servicio legítimo, sino que también se envía por medio de este servicio legítimo. En consecuencia, los encabezados técnicos del mensaje no deseado son perfectamente legítimos. Hay que recalcar que desde el punto de vista técnico, este truco apenas difiere de la propagación de mensajes desde los servicios de correo online, como mail.google.com o mail.ru.
Publicidad de los ciberdelincuentes
Además de la publicidad de los spammers anunciando sus propios servicios, detectamos en el tráfico de correo spam del mes de agosto mensajes que anunciaban los servicios de otras actividades ilícitas. Entre los casos más notables, podemos citar la oferta de ganar dinero a través de diferentes tarjetas de débito. Los ciberestafadores recurren a terceros para retirar el dinero de cajeros automáticos utilizando tarjetas clonadas. Resulta interesante observar que las ofertas para ganar dinero que propagan mediante spam se refieren a menudo a este tipo de actividades, pero en general, el texto del mensaje no lo menciona explícitamente.
Hemos detectado muchos mensajes que ofrecían a la venta bases de datos de direcciones en varias regiones, desde Europa hasta Irán. Las ofertas de venta de bases de datos de direcciones para propagar spam en un determinado país en el que esta técnica es poco usual ya existía en el spam entre los años 2008 y 2009. Podríamos decir que constituyen un testimonio indirecto de las dificultades económicas por las que atraviesa la distribución de spam.
Panorama estadístico
Países fuente de spam
A continuación ofrecemos la clasificación de los países fuente de spam enviado a los usuarios europeos.
Países fuente del spam enviado a usuarios europeos en agosto de 2012 (Top 20)
A fines de agosto, la clasificación de las fuentes del spam enviado a los usuarios europeos casi no había cambiado. En particular, el Top 7 de los países no cambió en absoluto en relación al mes de julio. El porcentaje de spam propagado desde China se incrementó en un 6%, lo que lógicamente produjo una disminución del porcentaje de otros países.
A nivel mundial, China, con el 31,5%, retomó el liderazgo de la clasificación de los países fuente de spam. EE.UU. ocupó el segundo lugar (15,7%), seguido por India (12,4%).
Adjuntos maliciosos en el correo
En el mes de agosto, el 3,9% de los mensajes de correo contenían adjuntos maliciosos, es decir, un 0,5% menos que en el anterior mes.
Clasificación de las detecciones del antivirus de correo por país
Clasificación de las detecciones del antivirus de correo por país en agosto de 2012
Por octavo mes consecutivo, EE.UU. encabezó la clasificación de países según la detección del antivirus de correo. Sin embargo, el porcentaje de detecciones del componente Kaspersky Mail Antivirus en EE.UU. en agosto, disminuyó en un 3%.
El porcentaje de detecciones de nuestro componente antivirus de correo en Alemania no cambió a penas en relación al mes anterior, y este país ocupó el segundo lugar.
Debemos subrayar el notable aumento de las detecciones del antivirus de correo en Australia (+2,8%) y en Vietnam (+2,4%). Estos países ocuparon el cuarto y quinto lugar, respectivamente, por delante del Reino Unido, cuyo índice prácticamente no cambió en relación al mes de julio.
La variación de la participación de los otros países no llegó al 1,5%.
Top 10 de programas maliciosos propagados por correo
Top 10 de programas maliciosos propagados por correo en agosto de 2012
A fines del mes de agosto, el porcentaje de detecciones del módulo antivirus de correo de Trojan-Spy.HTML.Fraud.gen, líder tradicional de nuestra clasificación, aumentó en más del 1,5%. En otras palabras, entre los programas maliciosos que detectamos en mensajes de correo en el mes de agosto, el número de mensajes con páginas HTML phishing que imitaban los formularios de inicio de sesión de los sitios pertenecientes a instituciones financieras o de otros servicios online, aumentó en un 1,5%.
El segundo lugar correspondió al gusano de correo Email-Worm.Win32.Bagle.gt que, además de su función estándar de recopilar direcciones de correo desde los ordenadores infectados y de autopropagación, es capaz de conectarse a Internet y descargar otros programas maliciosos al ordenador capturado. Sus “colegas” Mydoom.m y Mydoom.l más elementales (sólo poseían la función básica), ocuparon el cuarto y décimo lugar, respectivamente.
Los programas de la familia Androm que aparecieron en el mes de junio, también han copado el Top 10 de programas maliciosos más detectados en los mensajes de correo a fines del mes de agosto; cinco de los programas maliciosos mencionados anteriormente pertenecen a esta familia. Estos programas maliciosos, una vez que se instalan en el sistema del usuario, proceden a descargar otros programas maliciosos desde Internet.
Phishing
En relación al mes de julio, la porción de los mensajes phishing en el tráfico de correo no cambió y representó el 0,01%.
TOP 100 de organizaciones víctimas de ataques phishing por categorías, agosto de 2012
La clasificación de las categorías de organizaciones víctimas de ataques phishing se basa en las detecciones de nuestro módulo antiphishing instalado en los ordenadores de los usuarios. Este componente detecta todos los enlaces que el usuario activa, ya sea que se encuentren en un mensaje o en Internet.
La clasificación de organizaciones víctimas de ataques phishing no cambió en relación al mes anterior. Las redes sociales sufrieron más ataques (+1%), mientras que la cantidad de ataques contra las instituciones financieras volvió a incrementarse (+1,5%). El porcentaje de ataques phishing contra tiendas online disminuyó en más del 1,5%.
Temas del spam
Categoría de spam en agosto de 2012
Tal como habíamos previsto, en el mes de agosto aparecieron importantes modificaciones en el tráfico de correo spam en Europa. Aunque el spam relacionado con la categoría “Finanzas personales” permaneció bastante elevado, este grupo sufrió una notable disminución en relación al pasado mes (-21,5%). Recordemos que los mensajes de esta categoría suelen contener ofertas para ganar dinero de forma dudosa. A pesar de la remontada de las compras en el mes de agosto que resultó en el incremento de la cantidad de mensajes con ofertas de diversos artículos y servicios, los mensajes con ofertas de empleo van a mantenerse en alto por mucho tiempo más. La caída del empleo en Europa va a provocar el aumento en la cantidad de víctimas potenciales para este tipo de mensajes, y los ciberdelincuentes no van a dejar pasar esta oportunidad para propagar su spam.
Señálamos también, que el spam en inglés fue más heterogéneo que en el anterior mes. Además del aumento del porcentaje de spam “farmacéuticos” (+9,2%), también hay que señalar la aparición de una cantidad bastante elevada de mensajes con publicidad de casinos (+3,6%) y con contenidos para adultos (casi el 1,5% del total de mensajes spam).
Casi el 3% del total de los mensajes spam europeos contienen programas maliciosos y enlaces hacia sitios maliciosos que se supone que envían las oficinas de impuestos.
Conclusión
El mes de agosto, como era de esperar, estuvo marcado por el ciberdelito en el correo spam. Se espera que el mes de septiembre sea más tranquilo. Asimismo, la remontada de la actividad económica tras las vacaciones provocó una reducción en los mensajes con ofertas ilícitas con fines de lucro.
Las modificaciones mínimas en la clasificación de ataques phishing a fines del mes de agosto se justifican por el hecho de que se trata de un mes de transición para los autores de mensajes phishing: por una parte, mantienen su interés en los estudiantes que pasan mucho tiempo navegando en Internet durante sus vacaciones. Esto significa que el interés de los autores de mensajes phishing por las redes sociales sigue siendo alto. Por otra parte, con la recuperación de la actividad económica a fin de mes, los ciberdelincuentes vuelven a concentrar sus esfuerzos en las organizaciones financieras.
De acuerdo a nuestras previsiones, el porcentaje de ataques contra el sector bancario continuará en aumento durante el mes de septiembre, mientras que el interés de los ciberdelincuentes por las redes sociales decaerá un poco.
El spam en agosto de 2012