Informe de spam de mayo 2010

Las peculiaridades del mes

• En comparación con abril, el porcentaje de spam en el tráfico de correo se incrementó en un 2,1%, habiendo alcanzado un promedio del 85,1%.
• Tal como sucedió el mes pasado, se registraron tres vínculos a sitios phishing en el 0,02 del total del tráfico de mensajes de correo.
• Se detectaron archivos maliciosos en el 1,69% de los mensajes de correo lo que representa un aumento del 0,45% con respecto al mes pasado.

Porcentaje de spam en el tráfico de correo

En mayo de 2010, el porcentaje de spam en el tráfico de correo alcanzó un promedio del 85,1%.

El índice más bajo del mes (79,8%) se registró el 31 de mayo, y el más alto (89,8%) se produjo el 9 de mayo (celebración del Día de la Victoria en la Federación Rusa).

Distribución de los porcentajes de spam detectados en mayo de 2010

Origen geográfico del spam

El pasado mes de abril vimos, en nuestra clasificación especial dedicada al origen geográfico del spam, que tanto India como Vietnam se habían posicionado entre los primeros lugares, apenas por detrás de los EE.UU.Sin embargo, en mayo de 2010, el porcentaje de mensajes spam que circulaban en las redes de estos dos países asiáticos era mucho menor: el índice correspondiente a India experimentó una caída del 4,1%, mientras que el de Vietnam lo hizo en un 7%. Al mismo tiempo, el flujo de spam que circulaba en los EE.UU. mostró una notable alza del 8,5%, alcanzando un porcentaje del 20,7%, volviendo así a sus niveles usuales.

La proporción de spam generado por los spammers en territorio ruso se incrementó en un 1,2%. Obviamente, no se trata de un aumento significativo, pero fue suficiente para que Rusia se instale nuevamente en las primeras posiciones (3? lugar) de nuestra lista.

Asimismo, en mayo de 2010 se registraron significativos cambios en la clasificación de China y Brasil, que lentamente empezaron a recuperar sus tradicionales posiciones. Hasta la fecha, este incremento no ha sido suficiente para aspirar a ocupar un quinto puesto. En comparación con el mes de abril, el número de mensajes spam que circulaba en las redes de China marcó un incremento del 2%. Esto ha provocado que China se instale en el sexto lugar en nuestra clasificación. El volumen de spam generado por los spammers en Brasil se ha incrementado casi en el doble (1,2%), lo que coloca a este país en la séptima posición, apenas por detrás de China.

En cuanto a Alemania, hemos notado que en mayo de 2010 ya no forma parte de los Top 10, tras un repentino cambio en su clasificación. El volumen de mensajes spam que circulan en las redes alemanas ha caído en un 2%.

En relación a Italia, que el mes pasado alcanzó la cuarta posición, tras su repentina subida en el mes de abril, ha vuelto a sus niveles acostumbrados. Los spammers en Italia han participado con un 2,36% en la distribución de mensajes spam en el mundo.

Finalmente, resulta interesante notar la presencia de Argentina entre los Top 20. Los spammers argentinos se acreditan el 2,1% del total de mensajes spam que circulan en el mundo.

Phishing

En comparación con el mes de abril, no se registraron cambios respecto al porcentaje de mensajes de correo con vínculos a sitios phishing. El respectivo índice se mantiene estable con un 0,02%.

Tampoco ha variado la composición de las cuatro organizaciones que son blanco más frecuente de los phishers: PayPal (50,4%, -4,2%), eBay (13,4%, +1,9%), HSBC (8,5%, -1,1%) y Facebook (6,9%, -1,8%). Ni se han producido cambios significativos en las otras posiciones en este grupo especial Top 10, salvo por la desaparición de la red social Habbo y de IRS, la oficina federal de impuestos de los EE.UU. Los lugares que estas dos organizaciones dejaron vacantes fueron ocupados por los bancos NatWest y Bank of America.

 
Organizaciones blanco de ataques phishing en el mes de mayo de 2010

En el mes de mayo, los phishers italianos trataron de asustar a sus potenciales víctimas amenazándolas con sanciones o bloqueos de sus cuentas. E intentaron generar el interés de los usuarios que reciben sus mensajes. Por ejemplo, en algunas falsas alertas, aparentemente del correo italiano, se le informaba al usuario que había ganado un significativo bono de lealtad, que como se puede fácilmente asumir, debía cobrarse activando un vínculo insertado en el mensaje. Este vínculo, por supuesto, en vez de conducir al usuario a la página web de Posteitaliane, lo hacía a un sitio phishing:

Los clientes de HSBC, como mencionamos anteriormente, siguen siendo blanco predilecto de los phishers.

Constatamos, en el mes objeto de este informe, una campaña de mensajes phishing en los que se proponía a los clientes de este banco, sin proporcionarles mayores detalles, abrir el documento adjunto al mensaje. En el asunto del mensaje aparecía en letras mayúsculas la palabra “IMPORTANTE”.

Una vez abierto el adjunto, se conducía al usuario a un sitio phishing en el que se le persuadía para que ingresara su usuario y su contraseña de acceso al sistema de banca en línea.

Malware detectado en el tráfico de correo

Se detectó malware en el 1,69% de los mensajes de correo, lo que refleja un aumento del 0,45% respecto al mes anterior.

La clasificación de países en los que se detectaron los niveles más altos de distribución de malware a través de mensajes de correo ha mostrado llamativos cambios en relación al mes de abril. Los países con un alto índice de desarrollo, como puede verse, aún representan para los ciberdelincuentes objetivos de gran interés.

Es más: el cambio más relevante en la lista clasificatoria se refiere al ascenso de España a la quinta posición. En efecto, en comparación al mes de abril, el número de programas maliciosos detectados en este país por nuestro antivirus de mensajes de correo, casi se ha duplicado.

Las redes sociales, por su parte, reciben mucha atención de los ciberdelincuentes. En el mes de mayo detectamos varios envíos masivos dirigidos a Facebook y YouTube con el fin de utilizar estas plataformas para la distribución de malware. Por ejemplo, hemos identificado una campaña para aprovechar la enorme popularidad que tiene Facebook entre los usuarios de Internet; la campaña se preparó según los estándares tradicionales usados por los phishers y spammers dedicados a la distribución de malware. Al destinatario del mensaje, aparentemente enviado por los administradores de la popular red social, se le pedía que leyera una importante información sobre su cuenta, y para hacerlo, debería activar el vínculo que aparecía incrustado en el mensaje.

Si miramos con atención la captura de pantalla, veremos que la barra que se encuentra debajo de la dirección de la página web a la que se dirigirá al infortunado usuario si abre el vínculo. Una vez en esta página, comenzará de manera automática la descarga de códigos maliciosos en el ordenador del descuidado usuario. Debe notarse que los spammers ya son capaces de falsificar con gran fidelidad este tipo de notificaciones a nombre de Facebook y otras redes sociales. A primera vista, el mensaje mostrado arriba puede parecer realmente enviado por los directores de la famosa red social a sus usuarios.

El siguiente mensaje, que parece haber terminado “de un hachazo”, busca aprovechar la inmensa popularidad de YouTube. Al usuario se le sugiere descargar e instalar una “barra de herramientas” especial, que supuesta y mágicamente optimizaría su búsqueda en el famoso portal de videos.

Pero el “instrumento” tan generosamente ofrecido resulta ser, en realidad, un programa troyano.

Composición del spam temático

En los países occidentales, tal como sucedió el mes pasado, nuevamente ocupan los primeros lugares en la lista especial de distribución temática del spam masivo aquellos dedicados a la publicidad de fármacos. La proporción de esa categoría temática nuevamente registró en mayo una cifra mayor al 30% del total del volumen de spam.

Y como antes, cerca de la mitad del spam (en varios idiomas en todo el mundo) dedicado a esa temática planteaba la imperiosa interrogante “Cómo aumentar la potencia sexual masculina” y ofrecía al mismo tiempo “milagrosas” soluciones a bajos precios.

Tal como sucedió en el pasado mes, la segunda posición de la lista especial de distribución temática, la ocupa la del “fraude informático”. Sin embargo, si comparamos con el mes de abril, veremos que el porcentaje de esta temática descendió levemente (-3%). Resulta interesante observar que los spammers de contenidos fraudulentos adoptaron las mismas técnicas de los spammers dedicados a la propagación de códigos maliciosos, recurriendo a las notificaciones aparentemente enviadas por la famosa empresa DHL. En estos mensajes no se le pedía al usuario-víctima abrir un archivo adjunto al mensaje para conocer más detalles sobre algún paquete recibido, sino que se le pedía que enviara sus datos personales para acceder, vía DHL, a una elevada suma, gracias a la increíble “suerte” del usuario.

También se evidenció un elevado aumento de la categoría finanzas personales. En comparación al mes de abril, el índice registrado en mayo creció en un 5%, por lo que esta temática ocupa el tercer lugar. Al igual que antes, los mensajes de este tipo siguen ofreciendo créditos a los usuarios, o les proporcionan información para acceder a préstamos.

Resulta interesante notar que los mensajes “Spam para adultos”, cuyo porcentaje ha disminuido notablemente, aprovechan ahora de manera muy activa la temática de las redes sociales. Hemos identificado algunas relativamente grandes campañas de envíos de spam que inducen al usuario a suscribirse a un “Facebook porno” o a un “YouTube porno”.

Conclusiones

En comparación al mes anterior, el porcentaje de mensajes de correo con vínculos a sitios phishing permanece prácticamente inalterado. Mientras que antes eBay y PayPal eran los blancos favoritos de ataques phishing, en los últimos meses ya son cuatro las organizaciones que ocupan los primeros lugares de la lista.
El número de mensajes con códigos maliciosos ha crecido, pero no de manera significativa. Sin embargo, es importante recalcar que los spammers ahora dedican sus esfuerzos a encontrar nuevas formas de distribuir su malware.Prueba de ello es la aguda caída del número de los mensajes maliciosos generalmente “camuflados” como notificaciones aparentemente legítimas de parte de DHL y UPS. No cabe duda de que este método es, desde hace poco, la artimaña favorita de los spammers dedicados a propagar malware en Internet.