Informes sobre spam y phishing

El spam en el segundo trimestre de 2011

El antispam de Kaspersky Lab protege a usuarios de todo el mundo. Cada día, nuestro laboratorio antispam procesa más de un millón de mensajes que caen en nuestras trampas para spam. Para proteger a los usuarios usamos el filtrado, el análisis de los encabezados técnicos, las firmas (identikits) únicos para gráficos y las tecnologías “en la nube”. Nuestros analistas crean nuevas firmas las 24 horas al día, los 7 días de la semana.

Principales resultados

  1. El porcentaje del spam en el tráfico de correo electrónico continua creciendo y este trimestre ha registrado un valor medio del 82,5%.
  2. La cantidad de spam enviado desde Asia y América Latina ha superado el 60% del total mundial.
  3. Sigue creciendo la cantidad de adjuntos maliciosos en el correo y ha alcanzado el 3,86%. Los líderes en la frecuencia de reacciones del antivirus de correo son Rusia, EE.UU. y Vietnam.
  4. Como antes, sigue habiendo poco phishing (0,02%), pero ahora tiene blancos más claros.
  5. En Rusia ha vuelto el tradicional spam pedido por PYMEs.
  6. Sigue habiendo muchas notificaciones falsas de páginas web populares, entre ellos de sitios “en la nube”.
  7. En Rusia se está analizando un proyecto de ley antispam y en Japón ya existe responsabilidad penal por el envío de spam pornográfico.

Evolución del spam

De la correspondencia personal a las notificaciones oficiales

El correo electrónico existe desde hace mucho tiempo, pero siempre está sujeto a cambios. La aparición de las redes sociales, la Web 2.0, los servicios de mensajes cortos y ahora las tecnologías “en la nube” le han quitado protagonismo en lo que a comunicación por Internet se refiere. Nos comunicamos mediante los mensajeros instantáneos, compartimos noticias en los blogs, reunimos amigos en las redes sociales y discutimos ideas en los sistemas “en la nube”. Pero ¿qué cosas se mantienen en el correo electrónico? Los enlaces a los hostings y fotohostings, las notificaciones de las redes sociales (sobre las invitaciones a ser amigos, la aparición de nuevas discusiones y fotografías, etc.), los mensajes informativos de los bancos, tiendas online y servicios de entrega a domicilio, las invitaciones a leer documentos en los sistemas “en la nube”, etc. Podemos afirmar que en la actualidad el correo electrónico se usa con más frecuencia para notificar, y no para mantener correspondencia.

Dado que los spammers siempre están al día, el spam moderno con cada vez más frecuencia copia este tipo de notificaciones. Y si antes la falsificación de mensajes oficiales solo eran típicos del phishing y los mensajes maliciosos, ahora esta tendencia se ha propagado a los demás tipos de spam.

Falsificación de notificación de Facebook con un enlace a un recurso malicioso:


Falsificación de notificación de Twitter con enlace a un sitio farmacéutico:


Falsificación de notificación de Youtube con redirección a sitio farmacéutico:


Usando la fama adquirida por las grandes páginas web, los spammers tratan de engañar a los usuarios y al mismo tiempo de burlar los filtros antispam. Y, por supuesto, mientras más nuevo e interesante sea el recurso, con más ganas los spammers harán falsificaciones de sus notificaciones. Mientras escribíamos este informe, descubrimos falsificaciones de notificaciones del nuevo proyecto Google+.


Spam “en la nube”

Con el desarrollo de las tecnologías en la nube han aparecido muchos servicios cómodos y gratuitos. Este trimestre hemos observado una nueva espiral en la evolución del spam: los spammers han empezado a usar los servicios “en la nube”.

Algunos mensajes contenían enlaces a páginas de Google Docs, que a su vez contenían enlaces a un sitio farmacéutico o a otro sitio donde se venden relojes falsos (un peculiar método de hacer redirecciones).

Mensaje con enlace a Google Docs:


Además, los delincuentes usaron un formulario en Google Spreadsheets para poner sus páginas phishing.

Uno de los mensajes con enlace a Google Spreadsheets:


Al pulsar el enlace, el usuario llegaba a una página de Google Spreadsheets que contenía un formulario para ingresar datos personales:


El formulario estaba hecho de tal forma que al pulsar el botón Submit enviaba los datos del usuario a un recurso externo, es decir, caía en manos de los phishers.

El uso de este servicio proporciona a los delincuentes un espacio gratuito para poner sus páginas falsificadas. Y lo peor es que es muy probable que estas páginas inspiren confianza a los usuarios: En primer lugar, se encuentra en un recurso conocido; en segundo, la conexión se hace mediante el protocolo cifrado https.

El spam y la ingeniería social

A pesar de todos los cambios que experimentan las tecnologías, siempre hay un factor que no cambia, el humano. Y por lo tanto, tampoco cambia la ingeniería social.

En el segundo trimestre los spammers, fieles a su tradición, trataron de atraer a los usuarios a sus páginas usando noticias candentes, por ejemplo, la boda real en Inglaterra (http://www.securelist.com/ru/blog/44185/Korolevskiy_spam) o la muerte de Osama bin Laden (http://www.securelist.com/ru/blog/43182/Smert_Usamy_bin_Ladena_i_spam). Cabe destacar que los spammers mostraron su creatividad: entre las noticias usadas unas eran reales y otras ficticias.

Además, los spammers usaron un método casi olvidado, la falsificación de correspondencia personal.


El spam y la ley

En el segundo trimestre tuvieron lugar varios sucesos relacionados con la legislación y el spam.

El 13 de mayo un grupo de trabajo presentó en el congreso de la Federación de Rusia un proyecto de ley para la lucha contra la producción y difusión de spam. El proyecto lo preparó el Comité de política de información, tecnologías informáticas y comunicaciones en colaboración con la Comisión de seguridad informática y delincuencia cibernética de la Asociación rusa de comunicaciones electrónicas. En el proyecto de ley se define el concepto de spam, se analizan aspectos importantes como el consentimiento previo del usuario para recibir los envíos, la posibilidad de darse de baja, la obligación de indicar el nombre de la organización que efectúa el envío, la prohibición de la recopilación automática de direcciones, etc. Y lo más importante es que el proyecto de ley contempla responsabilidad penal por el envío de spam. Sin embargo, algunos juristas comentan http://www.internet-law.ru/forum/index.php?topic=5250.msg73385#msg73385 los lados débiles del proyecto de ley, que no indica con exactitud qué institución se encargará de la investigación y procederá contra los spammers.

El 24 de junio el tribunal de la circunscripción Lefortovo de Moscú sancionó el arresto de Pavel Vrublevsky, director general de la compañía Chronopay y, según algunos expertos, dueño del programa de afiliados Rx-promotions, especializado en el envío masivo de spam farmacéutico. Se acusa a Vrublevsky de organizar ataques DDoS contra la compañía Assit, que repercutieron en la paralización del sistema de venta de pasajes en el sitio web de Aeroflot. Recordamos que Vrublevsky era el jefe de la Comisión de lucha contra el spam del grupo de trabajo de desarrollo de Internet en el Ministerio de Comunicaciones de la Federación de Rusia.

En nuestro informe de junio escribimos que después de la clausura de los centros de administración de Rustock, la compañía Microsoft no se dormiría en sus laureles. La compañía tiene intenciones de ir aún más allá y denunció a los creadores de la gran botnet. Consideramos que la iniciativa de Microsoft es más que justificada: los datos de nuestra estadística muestran que los delincuentes empiezan a crear nuevas botnets en cuanto se cierran las antiguas. Desde luego, toma cierto tiempo crear una nueva botnet. Si se pone bajo rejas a los creadores, es posible que no se lleguen a crear nuevas botnets.

Además, en junio los parlamentarios de Japón dictaron una importante ley: ahora, no solo la creación, difusión, compra y venta de programas maliciosos, sino también la propagación de spam pornográfico se consideran delitos penales.

Estadística del spam

Cantidad de spam en el correo

La cantidad del spam en el tráfico de correo sigue creciendo. En el segundo trimestre alcanzó el 82,5% del tráfico de correo. El mayor porcentaje de spam (91,4%) se registró el 29 de mayo, el nivel mínimo (72,2%) tuvo lugar el primero de abril.


Cantidad de spam en el tráfico de correo en el segundo trimestre de 2011

Poco a poco se recuperan las botnets clausuradas el año pasado y a principios de éste. Pero la distribución geográfica por países de los bots que envían spam está cambiando.

Distribución de las fuentes de spam por países

En el segundo trimestre de 2011 fueron muy activos los envíos masivos de spam desde los países en vías de desarrollo: India (+4,26%), Brasil (+3,14%), Indonesia (+1,66%) y Corea del Sur (+1,02%).


Países-fuente de spam en el segundo trimestre de 2011

El líder en el envío de spam de nuevo es India, pero esta vez su participación ha aumentado más del 4% y alcanzado el 14,06%. Esto tiene una explicación: en el trimestre anterior en este país hubo un 5,99% de reacciones de nuestro antivirus de correo, lo que significa que los organizadores de botnets trataron de infectar más ordenadores de usuarios indios.

La participación de Brasil ha seguido creciendo durante todo 2011 y en junio alcanzó el 9,56%, lo que, según los resultados del trimestre (8,94%), lo han hecho ocupar el segundo puesto en la lista de países-fuente de spam.

También merece la pena destacar el notable salto del Perú (+2,4%), que ha subido al sexto puesto con un índice del 3,13%. En el anterior trimestre este país ni siquiera entró en el TOP 20.

Al mismo tiempo en un 2,75% se ha reducido la presencia de Rusia (3,05%,). El país que en el primer trimestre ocupaba el segundo puesto, en el segundo resultó en el séptimo. Este es un hecho bastante inesperado: Rusia ha sido y continúa siendo el líder por la cantidad de reacciones del antivirus de correo. Los programas maliciosos que alcanzan a los usuarios mediante el correo son gusanos en su mayoría. Algunos (por ejemplo, Worm.Win32.AutoRun.cchs) tienen funcionalidades como intercepción de mensajes de software, pueden verificar si el equipo tiene conexión a Internet y crear conexiones a determinadas direcciones en Internet. Los programas maliciosos con estas funcionalidades se pueden utilizar para descargar otros programas maliciosos e incluir el equipo en la botnet.

Puede haber dos explicaciones de por qué Rusia bajó cinco puestos en la estadística de países-fuente de spam: o bien los usuarios rusos han aprendido a defender mejor sus equipos, evitando que los delincuentes los integren en botnets, o se siguen creando botnets, pero se les da otros usos (ataques DDoS). Además, como ya hemos dicho más arriba, a Rusia llegó por correo una gran cantidad de gusanos. En su mayoría se trataba de programas de recopilación de direcciones de correo (por ejemplo, la familia Email-Worm.Win32.Netsky). Esto puede significar que los delincuentes están solo empezando a crear botnets y en el futuro Rusia estará de nuevo entre los tres primeros países-fuente de spam.

Desde EE.UU., líder del año anterior, se sigue mandando poco spam: este trimestre ha ocupado sólo el puesto 16 (1,99%, -1,01%).

Merece la pena destacar que, a pesar de los cambios ocurridos en el segundo trimestre, en general la distribución de las fuentes de spam por países en 2011 es mucho más uniforme que en los años anteriores. En la estadística de países-fuente de spam no hay líderes absolutos, ni se dio el caso en que 3 países fuesen responsables de la mitad del spam mundial. Los bots desde los cuales se envían mensajes spam están distribuidos con bastante uniformidad en todos los países. Los hay en Sudáfrica, en islas remotas en medio del Océano Pacífico y en los países desarrollados. Esta distribución muestra que ha concluido la expansión geográfica de los spammers. Ya no quedan territorios que los creadores de bots no hayan conquistado. Los países en vías de desarrollo atraen a los organizadores de las botnets por la ausencia de leyes antispam y su bajo nivel de protección de equipos; los desarrollados, porque cuentan con un Internet asequible y rápido.

Además, después de la intensa lucha contra las grandes botnets e 2010, hemos registrado un aumento en la cantidad de botnets, pero sus dimensiones son relativamente pequeñas. Entre las nuevas botnets no hay gigantes que sean responsables de la mayor parte del spam (como sucedió con Cutwail o Rustock). Y es que, o los spammers no han alcanzado a organizar botnets capaces de enviar millones de mensajes diarios, o deliberadamente no quieren jugárselo todo a una carta para que, en caso de que se cierre una botnet, poder pasar a usar otra. Esto también conlleva a una distribución más uniforme de los equipos infectados por países.

Distribución de las fuentes de spam por región



Países-fuente de spam, primer y segundo trimestre de 2011

Los líderes en el envío de spam son Asia (+8,22%) y América Latina (+5,55%). Juntas, estas regiones son responsables de más del 60% del spam enviado. Como ya hemos escrito, los spammers tratan de organizar nuevas botnets en las regiones menos protegidas desde el punto de vista legislativo, técnico, etc. Sin duda, Asia y América Latina pertenecen a este tipo de región.

Al mismo tiempo, la participación de Europa Oriental ha experimentado una reducción sustancial (-8,45%). No obstante, es muy probable que la participación de Europa Oriental empiece a crecer en el futuro: esta región es cómoda para los spammers por su correlación entre grado de informatización y legislación, así que es muy previsible que creen allí botnets para enviar spam.

Si vemos el gráfico de las fuentes de spam por meses, podemos notar una clara correlación entre algunas regiones: las líneas de los envíos desde Asia y América Latina coinciden. Y al mismo tiempo, los picos en la línea de Europa Occidental coinciden con las bajas en las líneas de Asia y América Latina y viceversa.


Dinámica de distribución de las fuentes de spam por regiones (primer y segundo trimestre de 2011)

La correlación de los gráficos de Asia y América Latina tiene una explicación muy simple: estas regiones son similares por la ausencia de leyes antispam y la poca protección de los usuarios. Al parecer, el spam en estas dos regiones se envía desde equipos que son parte de las mismas botnets.

Los temas del spam

Después de la clausura de las botnets gigantes el spam en las diferentes partes del mundo empezó a mostrar diferencias sustanciales. En Rusia, por ejemplo, casi ha desaparecido del todo el spam enviado por los programas de afiliados. Así, el anterior líder de la estadística de categorías temáticas del spam “de afiliados”, Fármacos y otros bienes y servicios relacionados con la salud, ocupa sólo el octavo puesto (1,8% del total de spam). La absoluta mayoría del spam en el sector ruso de Internet en este momento es el spam encargado por las PYMES. En cambio, el tema más popular sigue siendo Educación, el spam que publicita diferentes seminarios y cursos de capacitación.


Distribución de los temas del spam en el sector ruso de Internet en el segundo trimestre de 2011

También cabe destacar que casi todo el spam “de afiliados” en el sector ruso de Internet estaba en inglés, pero ahora la aplastante mayoría de los mensajes spam está en ruso.

Al mismo tiempo, en el spam enviado a los usuarios de Europa Occidental y EE.UU., el spam “de afiliados” sigue siendo numeroso, pero las Imitaciones de artículos de lujo ahora son más populares que los Fármacos. Además, en el spam en francés hay muchas “cartas nigerianas” de estafas.

Tamaño de los mensajes de spam

A diferencia del trimestre anterior, cuando en el spam aparecían muchos mensajes “pesados”, la distribución de los tamaños de los mensajes spam este trimestre es del todo tradicional: predominan los mensajes cortos y muy cortos (de menos de 1 kilobyte), mientras que el grupo de mensajes mayores a 50 kB ocupa sólo el 2,63% del total de spam.


Distribución de los tamaños de los mensajes spam en el segundo trimestre de 2011

Adjuntos maliciosos en el correo

En el segundo trimestre de 2011 la cantidad de mensajes con adjuntos maliciosos creció en un 0,81% y alcanzó una media del 3,86%.


Porcentaje de mensajes con adjuntos nocivos

Como se puede ver en el gráfico, en el segundo trimestre se ha conservado la tendencia de crecimiento de los mensajes con adjuntos maliciosos esbozada en el primer trimestre.

En el segundo trimestre de 2011 la distribución por países de las reacciones de nuestro antivirus de correo tiene el siguiente aspecto:


Distribución de las reacciones del antivirus de correo según países

Los primeros tres países continúan siendo los mismos que el primer trimestre. La mayor cantidad de reacciones del antivirus de correo tuvo lugar en Rusia (12,5%). En el segundo lugar está EE.UU. (12,21%). En comparación con el primer trimestre, la cantidad de reacciones del antivirus de correo en este país aumentó en un 1,8%. En el tercer puesto está Vietnam, que es responsable del 7,43% de las reacciones del antivirus de correo (+0,46%).

India, que el primer trimestre ocupó el cuarto puesto, a mediados del año ocupa sólo el octavo puesto. En el territorio de este país se ha registrado el 4,66% de las reacciones del antivirus de correo, un 1,33% menos que el año pasado.

Merece la pena destacar que en la segunda mitad de 2010, después de la clausura de las grandes botnets, ha aumentado notablemente la cantidad de mensajes spam con código malicioso enviada por los usuarios indios. Creemos que esto guarda relación con el hecho de que los delincuentes, habiendo recibido un doloroso golpe de las policías de varios países desarrollados, han empezado a organizar botnets en el territorio de los países con una legislación menos desarrollada en lo que a delitos informáticos se refiere.

La reducción de la cantidad de reacciones del antivirus de correo en India durante el primer trimestre de 2011 al parecer está relacionada con que los delincuentes han restablecido las capacidades de las botnets o, al menos, porque se ha reducido notablemente la expansión de botnets en India.

Al mismo tiempo, después de la clausura de la botnet Rustock en marzo de 2011, los volúmenes de spam malicioso enviado a EE.UU. siguieron creciendo y alcanzaron su pico en abril, como evidencia el siguiente gráfico.


Reacciones del antivirus de correo según países, primer y segundo trimestre de 2011

Lo que pasa es que EE.UU. sigue siendo un campo de operaciones muy atractivo para la creación de botnets. Esto se debe al alto nivel de informatización del país y a que en todo el territorio hay conexión de alta velocidad a Internet, algo que no sucede en los países en vías de desarrollo. En cuanto se clausuraron los centros de administración de una gran botnet, los delincuentes se apresuraron a crear otra.

El cambio del contenido del TOP 10 de programas maliciosos detectados por nuestro antivirus en EE.UU. confirma nuestras suposiciones. En febrero la mayor parte de los programas maliciosos enviados a EE.UU. eran programas que robaban los datos de los usuarios (troyanos-bankers) o extorsionaban (bloqueadores porno y antivirus falsos). Sin embargo, en marzo y abril más de la mitad del TOP 10 eran troyanos-descargadores, que instalan software nocivo que integra el equipo del usuario en redes bot.

Pero ya en mayo la cantidad de spam con adjuntos maliciosos enviados a EE.UU. se redujo. También se redujo la cantidad de descargadores que instalan bots en los equipos de los usuarios.

TOP 10 de programas maliciosos en el correo

Cuatro de los diez programas maliciosos detectados por nuestro antivirus de correo son gusanos de correo. Y es comprensible: un gusano de correo, una vez lanzado, seguirá propagándose incluso si su creador perdió el interés por él. Recordamos que las funcionalidades de los gusanos de correo Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Mydoom.l y Email-Worm.Win32.Netsky.q se limitan a recopilar direcciones de correo en el equipo de la víctima (y las entregan al delincuente) y enviarse a sí mismos. El cuarto gusano de correo del TOP 10 -Email-Worm.Win32.Bagle.gt- tiene funcionalidades más complejas que sus congéneres. Este programa malicioso, aparte de recopilar direcciones y enviarse a sí mismo, puede descargar otros programas maliciosos en el equipo del usuario.


TOP 10 de programas maliciosos en el correo, segundo trimestre de 2011

El primer puesto lo ocupa Trojan-Spy.HTML.Fraud.gen. Recordamos que este programa malicioso es una página html que imita el formulario de bancos online y otros servicios en Internet. Los datos de alta ingresados en este “formulario” caen en manos de los delincuentes. Aquí hay más detalles sobre este programa.

Un programa más del TOP 10 destinado al robo de datos financieros de los usuarios es Trojan.HTML.Fraud.fc. Este programa malicioso tiene exactamente las mismas funcionalidades que Trojan-Spy.HTML.Fraud.gen y también es una página html. El blanco de Trojan.HTML.Fraud.fc son los usuarios brasileños, ya que imita el formulario de alta de uno de los grandes bancos brasileños.

A pesar de que a principios de trimestre esperábamos una explosión de envíos de antivirus falsos, los resultados de finales de trimestre muestran que no pasó nada parecido. El único programa malicioso que guarda cierta relación con estos programas es Packed.Win32.Katusha.n, que se usa para empaquetar otro software malicioso y con frecuencia, para empaquetar antivirus falsos.

Phising

La cantidad de phishing en el segundo trimestre de 2011 se ha mantenido en un nivel muy bajo, con una media de sólo el 0,023% del tráfico de correo. Este nivel se mantuvo en mayo y junio y sólo en abril fue un poco superior, del 0,03%.


Porcentaje de mensajes phishing en el correo en el segundo trimestre de 2011

Los líderes en la estadística de organizaciones más atacadas por los phishers en el segundo trimestre de 2011 siguen siendo el sistema de pagos PayPal (+11,21%) y la subasta eBay (-2,89%).


TOP 10 de organizaciones atacadas por los phishers en el segundo trimestre de 2011*

* La estadística se forma basándose en la cantidad de URL phishing propagadas por la red y que tienen el objetivo de robar los datos de registro de uno u otro servicio. La estadística no es un indicador del nivel de seguridad de las organizaciones mencionadas. La estadística refleja la popularidad y autoridad de los servicios entre los usuarios, que tiene una influencia directa en su popularidad entre los phishers.

El tercer puesto lo ocupa el banco Santander, que recibió el 5,31% de todos los ataques phishing, un 1,9% más que el trimestre pasado. En general, el interés de los phishers por los sistemas de banca online sigue siendo bastante moderado: de los cuatro bancos del TOP 10, sólo uno resultó en la mitad superior de la lista. Los grandes bancos como HSBC y CHASE han sufrido muchos menos ataques que en el trimestre pasado. HSBC, que el primer trimestre ocupó el quinto puesto, esta vez se resignó a estar en el octavo (-2,7%). CHASE ni siquiera entró en el TOP 10, limitándose al puesto 19.

Las redes sociales Habbo (-0,53%) y Facebook (-0,3%) siguen interesando a los phishers. Ocupan el cuarto y quinto puesto respectivamente.

En el segundo trimestre de 2011 el popular juego online World of Warcraft (1,96%) experimentó menos ataques que en el primero (-0,94%). Pero entre las 10 organizaciones más atacadas apareció un juego online más, RuneScape. Este juego gratuito superó a WoW por la cantidad de ataques y ocupó el sexto lugar (2,62%).

La compañía Google, al igual que el primer trimestre, no entró a nuestra estadística. Sin embargo, aquí de nuevo debemos mencionar que la red social Orkut, perteneciente a Google, ocupó el puesto 11, y los demás servicios de Google, el puesto 13. En total, la cantidad de ataques phishing dirigidos a Orkut y los demás servicios de Google (3,04%) superan la de ataques contra RuneScape, que ocupó el sexto lugar en la estadística.

Creemos que aumentarán los ataques contra los servicios de Google con el lanzamiento de la nueva red social Google+. En este momento el nuevo programa de Google permite darse de alta sólo mediante invitaciones, lo que genera cierta especulación. Los delincuentes pueden aprovechar este intenso interés para sus propios objetivos y engañar a los usuarios enviándoles invitaciones falsas.

Ha habido otro incidente de phishing relacionado con Google. A principios de junio de 2011 se notificó que los delincuentes de China habían recibido acceso a las cuentas de Google pertenecientes a altos burócratas de EE.UU. Este acceso lo consiguieron gracias al método “spear phishing”, literalmente “pesca con arpón”, es decir, cuando existe un blanco determinado. Este tipo de ataques phishing se diferencia del común y corriente en que, como su nombre indica, apuntan a blancos más específicos. En los casos simples, el ataque se dirige a un grupo de usuarios que son clientes de algún servicio. Los mensajes copian hasta en los más ínfimos detalles las notificaciones oficiales de estos servicios y contienen un formulario de registro que es idéntico al del servicio atacado. Existen afirmaciones de que precisamente este sencillo sistema se usó para obtener acceso a las cuentas de los burócratas norteamericanos.

Merece la pena destacar que los funcionarios oficiales de China niegan las acusaciones hechas contra sus ciudadanos y llaman a Google “instrumento político” con cuya ayuda EE.UU. trata de manchar la reputación del estado asiático.

Volviendo al tema del phishing específico, aclaramos que los ataques pueden ser considerablemente más complejos. Estamos acostumbrados a que los mensajes phishing contengan saludos impersonales, como “Estimado usuario de nuestra red” o “Estimado cliente”. No obstante, un sistema más complejo de phishing específico contempla que el delincuente no sólo sabe de qué empresa es cliente o empleado su potencial víctima, sino también conoce su nombre y apellido. Usando estos datos, los delincuentes tienen grandes probabilidades de ganarse la confianza del usuario. El mensaje phishing no solo tiene la misma apariencia del servicio usado por el destinatario,sino que está personalizado, porque se dirige al usuario por su nombre y apellido.

Últimamente el phishing específico se está convirtiendo en una tendencia, porque los delincuentes lo usan para lanzar ataques no sólo contra determinados usuarios, sino también contra grandes compañías, como en el caso de RSA. Los delincuentes saben desde hace tiempo que la principal vulnerabilidad de los sistemas de seguridad son las personas, y usan este conocimiento en su provecho.

Nosotros suponemos que en el futuro inmediato nos espera un aumento de la cantidad de ataques específicos. Es probable que las pequeñas compañías también sean blanco de estos ataques: por una parte, representan más interés para los phishers desde el punto de vista financiero que los usuarios particulares. Por otra parte, las pequeñas compañías, a diferencia de las grandes organizaciones, no suelen contar con una defensa IT fiable.

Conclusión

Con los años el contenido de nuestros buzones de correo ha cambiado mucho, sobre todo si nos referimos al correo personal y no al de trabajo. Cada vez son menos las largas cartas tradicionales, porque para transmitir información han aparecido otros métodos más cómodos. En lugar de las cartas comunes y corrientes, recibimos con más frecuencia notificaciones de las redes sociales, enlaces a diferentes hostings, hostings de fotos y sistemas de intercambio de ficheros. Últimamente en los mensajes también aparecen enlaces a documentos “en la nube”.

El spam, en este caso es un reflejo del correo tradicional. Hace ya bastante tiempo que en el spam predominan los mensajes cortos con enlaces a sitios externos. Sigue aumentando el spam que copia las notificaciones oficiales de diferentes recursos web. Con la aparición y popularización de las tecnologías “en la nube” los spammers han empezado a falsificar mensajes de notificación y usar el recurso “en la nube” para sus propios objetivos. Lo único que no cambia es el factor humano, y por lo tanto, la ingeniería social: las grandes noticias (reales o ficticias), la imitación de correspondencia personal y otros métodos de atraer a los usuarios siguen siendo muy populares entre los spammers.

Estos últimos tiempos observamos la tendencia de spam dirigido a objetivos concretos. Esto concierne a las diferencias del contenido y el idioma de los mensajes spam enviados a diferentes países y a los ataques con blancos específicos, por ejemplo, las estafas dirigidas a determinados usuarios. El que los envíos masivos apunten a objetivos geográficos específicos puede estar relacionado con la clausura y cambios en la distribución de las botnets: después de esto, los spammers han empezado a usar la potencia de las botnets con más cuidado.

Las regiones líderes en el envío de spam siguen siendo Asia y América Latina. Esto era completamente pronosticable, ya que debido a la ausencia de leyes contra el spam y la gran cantidad de usuarios mal protegidos, los usuarios de Internet de estos países siguen siendo los blancos más cómodos para los spammers. Sin embargo, creemos que EE.UU. volverá a la lista de países desde donde se envía más spam: los spammers no pueden desaprovechar una región tan enorme con un Internet tan rápido, a pesar de las leyes antispam y la protección de los usuarios. En general, existe una tendencia de distribución más uniforme de las fuentes de spam: gracias a la informatización generalizada del mundo, no quedan regiones que no sean del interés de los creadores de botnets. Esperamos que en el futuro la cantidad de regiones-fuente de spam empiece a reducirse gracias a una legislación antispam efectiva.

El spam en el segundo trimestre de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada