News

El spam en el primer trimestre de 2009

Principales estadísticas del trimestre

  • El porcentaje de spam en el tráfico de correo alcanzó el 86,6%
  • Los mensajes phishing constituyeron el 0,54% del total del tráfico de correo.
  • El spam gráfico subió en un 6,7% y alcanzó el 16,3%.
  • La participación de la categoría “Publicidad de servicios de spammers” se triplicó y alcanzó el 15% del total del spam.
  • Más del 20% del spam en el sector ruso de Internet procede de los países de oriente.
  • Los spammers usan activamente sus viejos trucos.

Participación proporcional del spam

La participación del spam en el tráfico de correo generado en el primer trimestre de 2009 fue del 86,8%, es decir, un 5% mayor que la media del año anterior. Pero esto no significa que haya crecido la cantidad de spam en el correo. El principio del año se suele caracterizar por los altos porcentajes del spam en el tráfico de correo. De esta manera, en el primer trimestre del año pasado el spam constituyó el 88%, así que este año estamos ante una leve reducción de su porcentaje.


Porcentaje de spam

El índice más bajo de spam se observó el dos de marzo y fue del 78,8%, mientras que el pico del spam se registró el 22 de febrero y alcanzó el 93% del tráfico de correo.

Creció sustancialmente la presencia del spam gráfico, alcanzando un 16,3% (en comparación, en el último trimestre de 2008 era del 9,6%).

Países-fuentes del spam que afecta a Rusia


 

Países-fuente del spam que afecta a Rusia

Entre los países que generan el spam activo en el sector ruso de Internet, el liderazgo le sigue perteneciendo a Rusia (14%) y EEUU (10,3%). En el tercer lugar está Brasil (7,7%). España, que ocupó el tercer lugar en 2008, en el primer trimestre de 2009 no alcanzó ni siquiera el décimo lugar.

Vale decir que la distribución de las fuentes de spam es ahora más uniforme. El año pasado, el 38% del spam activo en Rusia se enviaba desde servidores ubicados en Rusia y EEUU, mientras que los índices de todos los demás países estaban muy por debajo de los líderes. En el primer trimestre de 2009, el 24% del spam procede de Rusia y EEUU y los porcentajes de los demás países son más uniformes.

También creció el porcentaje de spam que llega desde los países orientales. De los países orientales, el año pasado sólo Corea, China y Turquía encontraron su lugar entre los 10 primeros puestos, alcanzando entre los tres un 9% del spam, en el primer trimestre de este año también India ha entrado a la lista de los 10 países líderes. En total, desde estos cuatro países se envía el 20,1% de spam.

Los idiomas del spam en el sector ruso de Internet


Distribución de los idiomas de los mensajes de spam

El 72% de los mensajes de spam en el sector ruso de Internet está en ruso. Pero en comparación con el año pasado, ha aumentado en un 6% la cantidad de mensajes en inglés: ahora representan el 20% del correo spam. El portugués, francés y alemán, al igual que en 2008, están entre los cinco primeros idiomas.

Tamaño de los mensajes de spam


Tamaños de los mensajes spam

El gráfico de la distribución de los mensajes spam es casi idéntico al de 2008. Los spammers siguen enviando mensajes cortos, aunque también muy de vez en cuando se detectan mensajes pesados, que superan los 100KB (su porcentaje conjunto en este trimestre es del 6,7%).

Tipos de los mensajes spam


Tipos de los mensajes spam

En comparación con el año pasado, ha bajado un poco la cantidad de cartas en formato de texto simple. En general, el gráfico tiene un aspecto bastante profesional. La mayoría de las imágenes que se adjuntan a las cartas son archivos en formato jpg y gif. Es digno de interés el hecho de que los adjuntos en otros formatos fueron tan pocos, que ni siquiera juntos alcanzaron el 1%.

Phishing

Desde principios de 2009, poco a poco, va disminuyendo el porcentaje de mensajes con enlaces a sitios phishing. Según los totales del primer trimestre, la participación media de estas cartas llegó al 0,54% del tráfico de correo.


Porcentaje de mensajes phishing en el correo

La creciente popularidad del pago de servicios con dinero virtual ha causado que el sistema de pagos PayPal se convierta en el más atacado por las organizaciones de phishers. Sin embargo los estafadores no han perdido el interés por los sistemas bancarios tradicionales, como lo demuestra el ataque phishing contra el Fifth Third Bank ocurrido en enero, que puso a este banco en el tercer lugar de la estadística de las organizaciones más atacadas por los phishers.


 

Las organizaciones más atacadas por los phishers

En marzo, de forma inesperada, el sistema de intercambio de archivos Rapidshare se convirtió en una de las tres organizaciones más atacadas por los phishers, que robaban las cuentas de los usuarios para después venderlas.

A principios del año, los spammers enviaron varias veces, en nombre de los bancos, notificaciones de que, debido a un serio ataque phishing, algunas de las instituciones financieras se hab’ian visto obligadas a introducir limitaciones en las transacciones financieras. En las notificaciones se afirmaba que al seguir el enlace, se podría leer la lista de los bancos atacados y averiguar las medidas tomadas por el Departamento del Tesoro de EEUU. En realidad, el usuario llegaba a una página falsificada que contenía un formulario que exigía poner el nombre y contraseña de la cuenta bancaria. Este ataque estaba dirigido a los clientes de una serie de organizaciones financieras y los fishers contaban a todas luces con “hacer una gran pesca”.

BANCO DE LA RESERVA FEDERAL DE LOS EE.UU.

Importante:
La presente está relacionada con las nuevas directivas emanadas del Departamento del Tesoro de los EE.UU. concerniente a los pagos en línea vía Federal Wire.

El 21 de enero de 2009, se inició un ataque phishing a gran escala y aún está en efecto. Un gran número de bancos y entidades financieras se ha visto afectado por este ataque, y el volumen de las transferencias ilegales vía Federal Wire ha alcanzado niveles extremadamente altos.

El Departamento del Tesoro, la Reserva Federal y la Corporación Federal de Seguros de Depósitos (FDIC, por sus siglas en inglés) de los EE.UU. desarrollaron de manera conjunta una serie de acciones inmediatas para reducir hasta donde sea posible las operaciones fraudulentas. Lamentamos informar que se aplicarán restricciones definidas a todas las transferencias vía Federal Wire desde el 26 de enero hasta el 6 de febrero.

Visite este sitio web para obtener información más detallada sobre los bancos afectados y las restricciones impuestas por el Departamento del Tesoro:

LINK

Administración de Sistemas del Banco de la Reserva federal de los EE.UU.

Particularidades temáticas del spam


 

Distribución de las temáticas del spam en el sector ruso de Internet

Los temas que lideran en el spam son:

  1. Fármacos; bienes y servicios para la salud (19%) (- 0,6%).
  2. Spam “para adultos” (16%) (- 4,7%)
  3. Publicidad de servicios spam (15%) (+ 10%)
  4. Educación – 10% (+0,2%)
  5. Reproducciones de artículos de lujo – 7% (+ 1,6%)

Los spammers están tratando de conseguir nuevos clientes

En el primer trimestre de 2009 la rúbrica “Publicidad de servicios de spam” se ubicó entre los tres líderes. En comparación con el trimestre anterior, la participación de esta categoría se triplicó y alcanzó el 15% del total del tráfico spam. Durante algunas semanas la autopublicidad de los spammers era del 20% de los mensajes spam y esta categoría llegó a ocupar el primer lugar en el ranking de las temáticas del spam.

Es posible que en las condiciones de crisis económica algunos clientes de servicios de spam hayan quebrado o se hayan negado a seguir usando estos servicios. Esto obliga a los spammers a publicitar con más ahínco sus servicios, para atraer nuevos clientes. Lo más probable es que estos nuevos clientes sean compañías que antes no usaban publicidad spam, pero que debido a la crisis y la disminución de presupuestos para publicidad pueden decidir usar los servicios de spam.

En las cartas que ofrecen envíos masivos de spam ahora hay muchos más intentos de “lavarle la cara” a este negocio ilegal. Antes, los spammers atraían clientes ofreciendo bajos precios, es decir, presuponían que el cliente entendía el negocio del spam. Ahora, al dirigirse a los nuevos clientes, los spammers tratan de convencerlos de que el spam es algo legal. Lo que no es cierto.

Al mismo tiempo, recrudece la competencia entre los diferentes grupos de spam y este fenómeno tiene una peculiar influencia en los textos de las cartas publicitarias: con cada vez más frecuencia los spammers tratan de denigrar a la competencia (en el fragmento que sigue se ha conservado sin cambio el estilo del autor:

“Desgraciadamente, en nuestro negocio hay muchos estafadores no tienen ningún reparo en cobrar dinero para después no enviar nada y decir que la “carta era defectuosa”. Estos estafadores no sólo le causan perjuicios a usted, sino también a los spammers honrados, ya que socavan la reputación de todo el negocio en general”.

Relación entre la dinámica de los envíos masivos de spam de dos temáticas

Los analistas de spam de Kaspersky Lab han notado una regularidad interesante. Al comparar la intensidad con que durante diferentes periodos de tiempo se envió spam de las temáticas “Fármacos, bienes y servicios para la salud” y “Reproducciones de artículos de lujo”, es fácil darse cuenta de que los puntos máximos y mínimos de los gráficos coinciden.


Porcentajes de las temáticas “Fármacos” y “Reproducciones”
en el primer trimestre de 2009

Las cartas de ambas categorías tienen algo en común, porque ofrecen análogos baratos de productos caros. La estructura del texto publicitario en las cartas de estos dos tipos es casi idéntica.

“Fármacos” “Reproducciones”

 

 

Además, en algunos casos se puede observar que los sitios de venta se encuentran en los mismos dominios:

“Fármacos” “Reproducciones”
ViagraLevitraCializ GENÉRICO DESDE $1.20/tab

Por favor, haga su pedido desde los siguientes enlaces:

http://<>.fvsmsseg.cn
http://<>.fvsmsseg.cn

Reproducciones 99.99% semejantes a los originales de relojes carísimos

Vea todas las marcas y modelos en nuestro sitio:

http://<>.fvsmsseg.cn
http://<>.fvsmsseg.cn

“Fármacos” y “Reproducciones” son las rúbricas de spam más antiguas. Casi una tercera parte del spam pertenece a estas categorías. Esto nos da fuertes razones para suponer que los principales clientes de este spam no son pequeñas empresas.

Se puede suponer que detrás de estas tendencias hay una gran organización que cuenta con sus propios servicios de spam, botnets y redes de venta. Todo parece indicar que los recursos con que cuenta ese negocio son enormes, ya que el spam de la rúbrica “Fármacos, bienes y servicios para la salud” ocupa posiciones de liderazgo en todo el mundo.

Los métodos y trucos de los spammers

En el primer trimestre de 2009 se observa un acentuado enmarañamiento del texto spam. Sobre todo esto afecta a los números de teléfono y ICQ. Los spammers alternaban cifras y letras, escribían las cifras con palabras y hasta intercalaban diferentes “emoticones” entre los números de teléfono. Como resultado de estos ardides, la información de contacto se hacía absolutamente ilegible:

“I.C.Q” >:-E9Зl:cool:2Зl):-D
Моб 643 ):-p 29 8-o 35 ):-D
ICQ 36:”()86):-D17):-D865

En algunos mensajes el número de teléfono se describía en largos párrafos:
“Primero pulse en el teléfono el 7, después el 2 y el 4.
A continuación pulse en el teléfono la cifra 7 y después un cero.
Para terminar, pulse dos cifras más <…>”

Con cierta frecuencia, los spammers aumentan el enmarañamiento del texto, sin embargo esta exagerada pasión por los caracteres superfluos suelen abandonarla con bastante rapidez. Es evidente que este tipo de problemas no dura mucho tiempo, ya que evadir los filtros no es el único objetivo de los mensajes spam. La publicidad debe atraer clientes, y para esto, es imprescindible que el mensaje sea fácil de leer.

Además, los spammers siguen usando las diferentes vulnerabilidades de los grandes portales de Internet. Así, en este trimestre usaron la redirección del servicio Mail.ru para llevar agua a su molino. El sitio de destino, como regla, se encontraba en un servicio de hospedaje gratuito, por ejemplo http://rb.mail.ru/clbkjb/<>.narod.ru.

Conclusión

La cantidad de spam en el tráfico de correo del primer trimestre de 2009 ha sido bastante grande. El porcentaje de spam una vez más ha alcanzado el nivel anterior a la clausura del proveedor McColo.

Parece que los spammers están apostando por la cantidad en desmedro de la calidad. Al tratar de enviar la mayor cantidad posible de spam, prestan menos atención a la forma de los mensajes y a los nuevos trucos para evadir los filtros antispam.

A pesar de que el porcentaje de spam en el correo supera el 86%, en marzo cerca del 20% de todos los mensajes spam era publicidad de los mismos servicios de spam. A partir de estos datos, se puede concluir que en periodo de crisis se ha reducido sustancialmente la cantidad de clientes de los spammers. En comparación, a lo largo del primer trimestre de 2008 la participación de la publicidad de los servicios de spam era de sólo el 3,7% de los mensajes spam.

Todavía no está claro si los spammers con su agresiva campaña publicitaria han conseguido nuevos clientes, pero el comercio ruso ya se ha dado cuenta de que el spam le da mala fama al que lo usa y no es un método de publicidad tan efectivo como afirman los spammers.

En todo caso, es probable que en el segundo trimestre la cantidad de spam en el tráfico de correo no aumente. Hasta es de esperar que tenga lugar cierta reducción en comparación con el primer trimestre, ya que a principios de año el porcentaje de spam en el tráfico suele ser varias veces superior a la media anual.

En lo que concierne a los trucos de los spammers, hay cierta calma, pero es difícil de decir cuánto durará.

El spam en el primer trimestre de 2009

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada