Evolución del correo spam: de julio a septiembre de 2009

Spam en el tráfico de correo

En el tercer trimestre de 2009, el porcentaje medio de spam en el tráfico de correo electrónico fue del 85,7%.

Como suele ocurrir, el porcentaje de spam en el tráfico de correo disminuyó durante los meses de verano. En septiembre, el volumen comenzó a aumentar de manera notable, aunque esto no representa la tendencia general, sino sólo una tendencia propia de la temporada.

Spam en el tráfico de correo: Tercer trimestre de 2009

El 27 de septiembre se registró un pico del 91,3 por ciento, y el 1œ de agosto se llegó a un mínimo del 76,3 por ciento; éste fue el único día durante todo el trimestre en que el nivel de correo spam se situó por debajo del 80 por ciento.

Phishing

El porcentaje de correo phishing en el tercer trimestre fue el doble del constatado en el trimestre previo (0,49 por ciento) y llegó a una media del 1% del total del volumen de tráfico de correo.

Igual que en trimestres anteriores, eBay y PayPal fueron los blancos preferidos. Agosto fue el único mes en el que ambas compañías temporalmente perdieron el liderazgo.

Como se puede apreciar en el gráfico, el porcentaje de ataques phishing dirigidos a eBay y PayPal decayó de manera significativa en el mes de agosto, siendo sustituidos por crecientes ataques a la banca. Por ejemplo, el porcentaje de ataques al Chase Bank, que no suele superar el 2 por ciento, alcanzó el 30,6 por ciento. Otros bancos se enfrentaron a similares situaciones: en agosto, la cantidad de ataques al Bank of America llegó al 19 por ciento frente al acostumbrado 3 a 5 por ciento. El Ally Bank también soportó más ataques que nunca: un 11,08% frente o 1 a 2 por ciento habitual. Este ejemplo demuestra que aunque eBay y PayPal son el blanco favorito de los ataques phishing, a veces los bancos los superan en popularidad. Por ejemplo, el Chase Bank sufrió similares ataques masivos hace aproximadamente un año.

Los autores de los ataques phishing decidieron diversificarse durante el tercer trimestre de 2009, con mensajes que incluían un número telefónico en lugar de un vínculo a un sitio falso. Se persuadía al usuario para que llamara a este número a fin de acceder a su cuenta:

Otros mensajes utilizaban un truco spam más tradicional: una notificación informando al usuario de que su cuenta sería bloqueada pronto. Sin embargo, el mensaje no se refería a una cuenta bancaria o a una de correo, sino a una cuenta que permitía al usuario acceder a una farmacia en línea. El bloqueo de esta cuenta supuestamente evitaría que el usuario compre medicamentos sin la respectiva receta. Se indicaba al usuario que para evitar la desactivación de la cuenta debería hacer un pedido de inmediato.

No hace falta decir que los destinatarios no tenían cuenta alguna en la mencionada farmacia. La intención del autor del spam (spammer) era despertar la curiosidad del usuario sobre la posibilidad de comprar medicamentos sin receta.

Mensajes con adjuntos maliciosos

En el tercer trimestre de 2009, se hizo evidente un aumento en la cantidad de ataques phishing. Este incremento se registró también en el número de mensajes con adjuntos maliciosos, cuyo promedio suele ser del 0,46 por ciento del total del volumen de tráfico de correo. Este promedio aumentó un 0,29 por ciento en comparación con el trimestre anterior. Septiembre resultó ser el mes con mayor cantidad de adjuntos maliciosos y fue en gran parte responsable del crecimiento inusual de las cifras del trimestre. En los meses de julio y agosto el número de mensajes con programas maliciosos fue relativamente pequeño, con sólo un 0,11 y un 0,05 por ciento, respectivamente. Sin embargo, en septiembre este número aumentó considerablemente, alcanzando un 1,22 por ciento.

En los meses de julio y agosto, Email-Worm.Win32.NetSky, Net-Worm.Win32.Mytob y Backdoor.Win32.Bredolab fueron muy comunes en el correo spam. Dos de estos adjuntos son gusanos y el otro es un programa troyano. Los tres tienen el objetivo de recopilar direcciones y capturar ordenadores sin protección para incorporarlos a redes zombi. Sin embargo, en septiembre, un Trojan-Downloader de la familia FraudLoad tomó la delantera con el 48,6 por ciento de todos los mensajes con adjuntos maliciosos.

El objetivo de un Trojan-Downloader es descargar e instalar programas maliciosos o promocionales en el ordenador. El propósito de la familia FraudLoad es instalar programas antivirus malintencionados en un equipo infectado.

La mayoría de los mensajes maliciosos imitaban notificaciones de servicios legítimos de mensajería, como DHL o UPS, o sistemas de envíos de dinero, como Western Union. El mensaje informaba al usuario de que el servicio no pudo entregar un paquete, o que un giro había llegado a su nombre, y que el adjunto supuestamente contenía un recibo o el código del giro. En realidad, contenía un programa malicioso.

Los estafadores también se aprovecharon de la popularidad de sitios de redes sociales. Por ejemplo, uno de los mensajes imitaba una invitación para convertirse en usuario de Twitter:

Porcentaje de correo spam en Internet en Rusia:

En el tercer trimestre no se presentaron cambios llamativos en la tabla clasificatoria de los países considerados como origen de correo spam. Estados Unidos ocupó el primer lugar, seguido por Brasil. Los Top 10 también incluyeron muchos países de Asia y de Europa del Este. Sin embargo, el porcentaje de correo spam enviado desde distintos países presentó variaciones. Por ejemplo, en agosto la proporción del correo spam proveniente de Estados Unidos decayó de manera considerable, mientras que el porcentaje de mensajes no deseados provenientes de Polonia se incrementó.

 
Tamaño y tipo de mensajes de correo spam

Detalle del spam por el tamaño del mensaje (KB)

La cantidad de mensajes muy cortos (menos de 5 KB) disminuyó en relación con el primer semestre del año. En el tercer trimestre llegó al 47,2 por ciento de todos los mensajes spam, un 10,7 por ciento menos que las cifras promedio registradas en el primer semestre del año. Sin embargo, se incrementó la cantidad de mensajes de 5-10 KB y 10-20 KB. La proporción de mensajes maliciosos con formato HTML aumentó en un 8,2 por ciento en relación al primer semestre del año.

Detalle del spam según el formato

La cantidad total de spam contenía menos mensajes con texto simple y más mensajes cortos con formato HTML. Esto significa que los spammers se preocupan por el diseño de sus creaciones. Además, el formato HTML facilita que el spammer oculte al usuario sin experiencia la URL de destino.

Métodos y trucos de los spammers

En el tercer trimestre de 2009, los spammers volvieron a sus antiguos métodos de burlar los filtros antispam: tablas HTML y spam gráfico. Resulta interesante que las direcciones y los números de teléfono escritos en forma de tabla son de fácil lectura, tienen mejor apariencia y coinciden con el formato del mensaje en cuanto al tamaño se refiere. Cuando este método hizo su aparición, las letras y cifras usadas en los números de teléfono eran enormes y parecían absurdas. Los spammers usaron una variedad de colores, incluyendo el negro, para rellenar las celdas de las tablas HTML.
En el mensaje que se muestra a continuación, la inscripción “Replica Watches binnew.com” es en realidad una tabla HTML multicelda, con muchas de ellas de colores.

Los desarrolladores de spam gráfico siguen experimentando. Antes, el texto en las figuras aparecía inclinado en los costados, mientras que en las modernas imágenes las letras de una misma línea se pueden colocar en distintos niveles o en forma de “onda”.

Además, los spammers han reactivado la práctica de añadir ruido de fondo a la información de contacto. Por ejemplo, en uno de los mensajes se añadieron figuras aleatorias a los vínculos y se le pedía al usuario que eliminara estos símbolos superficiales de la dirección.

Estos mensajes pueden dificultar el trabajo de algunos filtros antispam. Sin embargo, los avisos distribuidos de esta manera no son efectivos, pues es el mismo usuario quien debe introducir la dirección en el navegador. No es suficiente con activar el hipervínculo o copiar la dirección. En algunos casos el usuario debe eliminar algunas de las figuras. Sólo un usuario muy dedicado se tomaría la molestia de hacerlo.

Spam por categorías

En el tercer trimestre se registró una reorganización en las categorías de spam en Internet en Rusia; las categorías de spam que habían bajado a principios de año experimentaron un notable crecimiento en el tercer trimestre de 2009, incluso sobrepasando las cifras del año pasado.

Spam educativo, 2008-2009

Spam de viajes y turismo, 2008-2009

Es muy probable que las compañías que ofrecen seminarios y capacitación y las pequeñas agencias de turismo que recurren a los envíos masivos de correo para publicitarse, se hayan visto afectadas por la crisis económica mundial. Ahora que la situación mejora, se están reactivando.

Al mismo tiempo, el volumen de spam publicitario de servicios de los mismos spammers decayó notablemente, después de alcanzar el nivel máximo durante la crisis.

Spam publicitario de servicios de spammers, 2008-2009

La disminución en el número de spammers que publicitan sus propios servicios es inversamente proporcional al volumen de solicitudes de otros tipos de mensajes spam. La crisis hizo que los spammers perdieran algunos de sus clientes regulares y por lo tanto lanzaron su propia publicidad para mantener el nivel de negocio. Actualmente, no son necesarias tales medidas. Por tanto, la recuperación de la crisis económica tiene un efecto directo en la distribución de las categorías de spam; el detalle de varias de estas categorías revela la dinámica postcrisis del proceso de recuperación económica.

“Drogas” sónicas

Durante este año se ha mencionado algunas veces que hay mensajes de spam que usan una variedad de métodos para inducir al usuario a enviar un mensaje SMS a un número de pago. El excesivo coste de este número, que el usuario a menudo ignora, se convierte en una fuente de ingresos para los spammers o sus clientes. Para persuadir al usuario de que envíe un mensaje SMS, los spammers usan distintos ardides, incluyendo falsas notificaciones al usuario sobre posibles bloqueos de su cuenta, ofertas de servicios inexistentes y ofertas de servicios de diseño de páginas web, etc.

En el tercer trimestre de 2009, los spammers adoptaron una nueva táctica: a cambio de enviar un mensaje SMS, la víctima recibía algunos archivos de audio ‘especiales’. Al escuchar estos archivos se supone que la víctima se transportaba a un estado modificado y placentero de conciencia.

En cuanto se publicó información desmintiendo las alegaciones sobre estas ‘drogas sónicas’, el nivel del spam relacionado con ellas sufrió una caída inmediata. Como sucedió con otros casos similares, el fraude sólo era efectivo mientras no se descubriera.

Conclusiones y pronósticos

La cantidad de mensajes spam detectada en el tercer trimestre de 2009 coincide con las predicciones: la momentánea calma estival fue seguida por un incremento otoñal.

Los cambios en la distribución de las categorías de spam fueron muy lógicos. Como se esperaba, la situación del spam reflejó lo que sucedía en la economía. La recesión económica que empezó hace un año causó una disminución en la cantidad de envíos masivos publicitarios de bienes y servicios. La actual recuperación de la crisis económica ha constatado la reactivación de este tipo de mensajes spam. Al mismo tiempo, el volumen de los mensajes spam publicitarios de los servicios de los mismos spammers ha decrecido hasta los niveles anteriores a la crisis, lo cual es un indicador de que actualmente los spammers están recibiendo suficientes encargos.

La cantidad de mensajes phishing y de mensajes con programas maliciosos ha experimentado un alza. Por lo general, el nivel máximo es el resultado de varios ataques individuales a gran escala. Sin embargo, los usuarios deben tener cuidado de no activar los vínculos que aparecen en los mensajes provenientes de remitentes desconocidos. Los usuarios también deberían tener cuidado con los archivos adjuntos. Los spammers recurren activamente a los métodos de ingeniería social para hacer creer a los usuarios que sus mensajes provienen de una fuente fiable. Los mensajes también provienen de cuentas pirateadas.

Últimas tendencias:

• Durante el tercer trimestre de 2009, el porcentaje de spam en el tráfico de correo fue del 85,7 por ciento.
• El porcentaje de mensajes phishing se incrementó un 0,5 y llegó al 1,77 por ciento del total del volumen del tráfico de correo.
• La proporción de mensajes con adjuntos maliciosos o con vínculos a sitios web maliciosos fue del 0,46 por ciento del total del volumen del tráfico de correo (1,22 por ciento en septiembre).
• La proporción de las categorías de spam que promocionan bienes y servicios está en alza, mientras que el porcentaje del spam autopublicitario proveniente de los mismos spammers, está decayendo.

Los spammers siguen usando mensajes spam con tablas HTML y gráficos para burlar los filtros antispam.