.tbor {border:solid 1px #000000;padding:5px;width:85%;};
.tbor2 {border:solid 1px #000000;padding:5px;};
.flink {color:blue;text-decoration:underline;};
Daria Gudkova
Tatiana Kulikova
Katerina Kalimanova
Daria Bronnikova
- Desarrollo de las amenazas en 2008
- Las principales estadísticas de 2008
- El spam en 2008
Introducción
2008 ha sido un año especial en muchos aspectos. Por una parte, por primera vez a nivel internacional se han tomado serias medidas destinadas a organizar la lucha contra el spam. Uno de los resultados de estos esfuerzos es la desconexión de los proveedores de servicios de hospedaje en cuyos recursos se descubrieron los centros de administración de grandes botnets. Por otra parte, la crisis económica mundial que empezó el pasado año ha ejercido su influencia en el negocio del spam, lo que se ha reflejado en el cambio de su estructura: se distribuye menos publicidad de artículos reales y más spam delictivo.
Resumen del año
- La media de spam es del 82,1%, un 2,1% superior a la de 2007.
- Durante varios días tras de la clausura del proveedor de servicios de hospedaje McColo, en cuyos servidores se encontraban los centros de administración de varias botnets, el spam registró una reducción del 50% en Rusia y del 33% en EE UU.
- La media del spam que contenía enlaces a sitios de phishing fue del 1,01%.
- El porcentaje medio de e-mails con adjuntos nocivos fue de aproximadamente del 0,89%.
- Los spammers aprovecharon las posibilidades del lenguaje HTML para evadir los filtros antispam.
- La cantidad de spam orientado a los usuarios de redes sociales y distribuido a través de ellas aumentó.
- En el sector ruso de Internet tuvo difusión el spam que inducía a los usuarios a enviar mensajes SMS de alto coste a números cortos.
- En el segundo semestre se redujo la cantidad de spam en la categoría “Demás bienes y servicios”, que refleja la cantidad de pedidos hechos a los spammers por los sectores reales de la economía.
- Ha crecido en casi un 10% la cantidad de spam para adultos, que es una de las formas en que se redirigía el tráfico hacia sitios pornográficos.
- Para captar la atención hacia los servicios y bienes publicitados en el spam, se hizo un amplio uso del tema de la crisis económica mundial y el nombre del nuevo presidente de Estados Unidos.
Distribución porcentual del spam
La presencia del spam en el tráfico del correo electrónico en 2008 fue de un 82,1% (un 2,1% más que en 2007). Los analistas de Kaspersky Lab registraron la menor cantidad de spam en el tráfico de correo (50,5%) el 13 de noviembre, después de la clausura del proveedor de servicios de hospedaje McColo. La mayor cantidad, que alcanzó el 97,8%, se registró el 1 de marzo.
Porcentaje del spam en el sector ruso de Internet en 2008
En el gráfico del porcentaje de spam se puede notar la tendencia a la reducción de la cantidad de spam en el tráfico de correo. Pero sería incorrecto atribuir este fenómeno a la disminución de la actividad de los spammers.
La tendencia a la reducción de la cantidad de spam en el correo del sector ruso de Internet está condicionada por el descenso que tiene lugar todos los veranos (durante esta estación, se mantuvo en un nivel cercano al 80%) y por la brusca caída del nivel de spam en noviembre causada por la clausura del proveedor de servicios de hospedaje McColo, en cuyos servidores se encontraban los centros de administración de varios botnets (Rustock, Srizbi, Dedler, Storm, Mega-D y Pushdo). Pero ya hacia finales de noviembre el spam empezó a recuperar sus posiciones y en diciembre su nivel en el sector ruso de Internet subió hasta el 82,5%.
Durante varios días después de la clausura del proveedor de servicios de hospedaje McColo, el spam registró en Rusia una reducción del 50% y en EE UU, del 33%. El que la clausura de un único proveedor de servicios de hospedaje tuviera tanta influencia en la cantidad del spam es un hecho sin precedentes que demuestra que se puede y se debe luchar contra el spam usando métodos diferentes a los de software. También es necesario actuar de forma conjunta a nivel internacional en los campos tecnológicos y jurídicos.
Países-fuentes del spam que afecta a Rusia
Países fuente de spam
En el sector ruso de Internet, el país que generó más spam en 2008 fue Rusia, a diferencia de 2007, cuando el líder fue EE UU. Ahora el país norteamericano ocupa el segundo lugar, seguido de lejos por los demás países.
Tipos y tamaño de los mensajes spam
Tamaño de los mensajes
El tamaño de la mayoría de los mensajes spam, al igual que en años anteriores, no fue superior a 10Kb. A pesar de la difusión de la banda ancha y el acceso ilimitado a Internet, los spammers siguen prefiriendo enviar mensajes cortos.
Tipos de los mensajes spam
La distribución de los tipos de mensajes spam no ha sufrido grandes cambios: la mayor parte de ellos contiene sólo texto, lo que determina su pequeño tamaño.
El idioma más usado en los mensajes spam del sector ruso de Internet es el ruso, que se empleó en el 77% del total de mensajes. El segundo lugar lo ocupa el inglés (14%). Los demás idiomas supusieron el 9%; entre ellos se encontraban el francés, el alemán, el italiano y el portugués.
Phishing
La media del spam que contenía enlaces a sitios de phishing fue del 1,01%. En el primer semestre la actividad de los estafadores fue mucho mayor que en el segundo: 1,32% y 0,7% respectivamente. El aumento de la cantidad de ataques phishing fue notable en mayo y junio de 2008.
Mensajes que contenían enlaces phishing en 2008
Esperábamos índices más altos de las actividades relacionadas con el phishing a finales de año. Habría sido lógico que, con la crisis económica que arrasó cientos de bancos, los phishers hubiesen recrudecido la intensidad de sus ataques, aprovechándose de los rumores sobre bancarrotas y noticias parecidas. Además, durante el periodo precedente a las fiestas de Navidad y Año Nuevo muchas personas realizan compras online y reciben tarjetas electrónicas de felicitación. Esta concurrencia de circunstancias ofrece grandes oportunidades a los estafadores cibernéticos para realizar sus ataques.
Es probable que la ausencia de picos de ataques phishing se explique por la clausura de los servicios de hospedaje McColo y Atrivo, en cuyos recursos los estafadores instalaban sitios falsificados o centros de administración de botnets para organizar envíos masivos de mensajes phishing y spam.
Las organizaciones más atacadas
Los phisher demostraron interés con más frecuencia por el sistema PayPal, y no tanto por la información confidencial de los clientes de los bancos (Bank of America, Wachovia). Un hecho destacable es que Chase Manhattan Bank sólo sufrió ataques sólo en noviembre y diciembre de 2008, pero fueron de tal magnitud que el banco ocupó el segundo lugar en la lista de las organizaciones más atacadas.
Para no convertirse en víctima de los estafadores, basta que los usuarios recuerden que ningún sitio web serio solicita información confidencial a sus clientes después de seguir un enlace.
Envíos masivos de adjuntos nocivos y enlaces a páginas infectadas
Los datos sobre los adjuntos nocivos se han recopilado con la ayuda de Kaspersky Hosted Security, un servicio que ofrecemos a los clientes de Europa Central, Inglaterra, EE UU y Rusia.
Mensajes con adjuntos nocivos
En lo que se refiere al peligro de infección, actualmente el correo electrónico representa un peligro mucho menor que en años anteriores. Los spammers recurren cada vez más al uso de enlaces que conducen a páginas infectadas.
En cualquier caso, a finales de 2008 registramos un alza en el porcentaje de correos electrónicos con adjuntos nocivos. En este sentido el segundo semestre tuvo una leve supremacía sobre el primero, con un 1,12% del total de tráfico nocivo frente al 0,66%.
El porcentaje medio de emails con adjuntos nocivos fue de 0,89%.
TOP20 de programas nocivos en el correo electrónico en 2008
| Trojan-Downloader.JS.Iframe.sh | 31,07% |
| Backdoor.Win32.Hijack.e | 8,98% |
| Trojan-Clicker.HTML.Agent.ag | 7,73% |
| Backdoor.Win32.UltimateDefender.tt | 4,42% |
| Trojan-Dropper.Win32.Agent.yzp | 2,94% |
| Trojan-Dropper.Win32.Agent.xgg | 2,72% |
| Worm.Win32.AutoRun.svl | 2,02% |
| Trojan-Downloader.JS.Agent.cye | 1,96% |
| Trojan-Downloader.Win32.Agent.algj | 1,60% |
| Trojan-Downloader.Win32.Agent.afqa | 1,52% |
| Trojan-Spy.Win32.Goldun.axt | 1,46% |
| Trojan-PSW.Win32.Agent.lcc | 1,37% |
| Trojan-Downloader.HTML.Agent.km | 1,32% |
| Trojan-Dropper.Win32.Agent.xql | 1,30% |
| Trojan-Downloader.JS.Agent.ckn | 1,22% |
| Email-Worm.Win32.NetSky.q | 1,12% |
| Trojan-Spy.Win32.Goldun.azl | 1,11% |
| Trojan-Spy.Win32.Goldun.bbg | 1,04% |
| Trojan.Win32.Buzus.hrp | 0,98% |
| Trojan-Spy.Win32.Zbot.fql | 0,92% |
Por primera vez desde que empezamos a escribir nuestros informes, el primer lugar del año no lo ocupa un gusano de correo. El líder absoluto de 2008 fue el descargador de troyano (Troyan-Downloader) Iframe.sh, escrito en JavaScript y que ejecuta en el equipo del destinatario un código especial, que puede descargar y ejecutar otros programas troyanos.
Si agrupamos los 20 programas nocivos más difundidos según su comportamiento, obtenemos la siguiente estadística:
| Trojan-Downloader | 39,66% |
| Backdoor | 13,39% |
| Trojan-PSW | 9,09% |
| Trojan-Spy | 8,49% |
| Trojan-Clicker | 8,02% |
| Trojan-Dropper | 7,72% |
| Worm | 3,96% |
| Exploit | 1,96% |
| Trojan | 1,62% |
| Email-Worm | 1,45% |
La tabla refleja los cambios radicales que se han producido respecto a los programas nocivos estos últimos años. El comportamiento de Email-Worm, creado expresamente para propagarse por correo electrónico y que prevaleció de 2000 a 2005, ocupa los últimos lugares en 2008, por detrás de Trojan-Downloader, Backdoor y demás troyanos.
Los delincuentes recurren a diversos trucos para inducir al usuario a abrir adjuntos que contienen programas nocivos. Algunos métodos resultaron ser simplemente curiosos. Por ejemplo, en el spam en inglés había mensajes que llamaban a donar dinero para liberar a un niño secuestrado. Para ver la fotografía de la víctima, se proponía a los usuarios abrir un fichero adjunto, que en realidad era el programa nocivo Trojan-Downloader.Win32.Delf.bfc.
Hemos adjuntado una foto.
Mensajes que contienen enlaces a páginas infectadas
El método de propagación de programas nocivos usado a mayor escala en 2008 fue el de los mensajes con enlaces a páginas infectadas. En los envíos masivos en inglés se usaron versiones falsificadas de las compañías de noticias más famosas, como MSNBC o CNN. Cuando el usuario trataba de leer las noticias en la pantalla del monitor, se le mostraba un mensaje que afirmaba que la versión del reproductor Flash instalada en el equipo era obsoleta y que debía descargar una nueva versión en formato .exe, pero en lugar del nuevo reproductor, se trataba un troyano-descargador. El software nocivo se encontraba en sitios adulterados ubicados en diferentes dominios.
msnbc.com: LAS ÚLTIMAS NOTICIAS: Londres es el mejor destino literario
Más información en http://breakingnews.msnbc.com
======================================================
Vea las mejores noticias del día en MSNBC.com, y lo último de Today Show y NBC Nightly News.
=========================================
Este e-mail nunca se envía sin haber sido solicitado. Usted ha recibido este mensaje de Breaking News Newsletter porque se ha suscrito o alguien se lo ha remitido.
Para darse de baja de la lista de envío (o darse de alta si alguien le reenvió este mensaje), vaya a:http://www.msnbc.msn.com/id/********, escoja “unsuscribe”, escriba su dirección de correo electrónico y pulse el botón “Go”.
Microsoft Corporation – One Microsoft Way – Redmond, WA 98052 MSN PRIVACY
STATEMENT
http://privacy.msn.com
Un pretexto más para llevar a los usuarios a visitar un sitio consiste en proponer la descarga de software o antivirus de forma gratuita. Los que accedían a visitar estos sitios, descargaban a sus equipos sin sospecharlo una de las variantes de Trojan-PSW.Win32.
Los envíos masivos con títulos intrigantes contenían sólo el enlace al sitio. Para ver estas “noticias” no era necesario descargar programas especiales, sino que el software nocivo se descargaba al ir a la página.
Los métodos y trucos de los spammers
Spam HTML
Si 2006 fue el año del spam gráfico y 2007 el de los experimentos con adjuntos, 2008 fue el año del spam HTML. Muchos de los trucos usados por los spammers no eran nuevos, sino que más bien se había reconsiderado su implementación para aprovechar las peculiaridades del código HTML.
En la larga lista de los métodos utilizados estaba la introducción de frases aleatorias en el texto de las etiquetas HTML invisibles para el usuario. El truco consistía en que los spammers agregaban secuencias de texto al azar mediante etiquetas (tags) HTML que la mayoría de los programas de correo electrónico consideran auxiliares y que no se muestran a los usuarios. Se trata de las etiquetas que contienen comentarios, que definen colores, etc. De esta manera, el usuario sólo visualiza el texto publicitario, que es sólo una pequeña parte del mensaje.
Para introducir “ruido” en el texto, los spammers también hicieron uso de seudoetiquetas, es decir, secuencias aleatorias de caracteres similares a las etiquetas de HTML. La mayoría de los programas de correo electrónico consideran que estas etiquetas “incorrectas” son errores y no se las muestran al usuario.
También tuvimos que vérnosla con un método que recibió el nombre de Mona Lisa. Consiste en mostrar la información de contacto en forma de gráficos formados por símbolos. Antes usaban letras y espacios en blanco para conformar los caracteres, pero ahora los spammers usan tablas HTML donde combinan celdas blancas y negras con el mismo objetivo.
También se usaron las tablas para dividir las palabras clave del mensaje y engañar a los filtros antispam:
| El código HTML del mensaje | El mensaje, como lo ve el destinatario | ||||
| <table> <tr> <td align=right>VI</td> <td align=left>AGRA</td> </tr> <tr> <td align=right>CIA</td> <td align=left>LIS</td> </tr> </table> |
|
Aparte de los trucos enumerados, los spammers también aprovecharon una particularidad del navegador: los caracteres dentro del URL se pueden codificar de diferentes formas (ASCII 16bit, ASCII 8bit, ASCII para HTML, etc.). El navegador puede abrir el sitio correcto si su dirección figura como vínculo en el mensaje, incluso si en el enlace se usan diferentes tipos de codificación o se han cometido algunos errores. Por ejemplo, narod.ru se puede representar como %6e%61%72%6f%64%2e%72%75 o narod.ru. No importa la cantidad de ceros, y se puede escribir cualquier letra de forma “normal”: el sitio se abrirá de todas maneras.
Publicidad en los sitios de hospedaje gratuito
En 2008 fue muy popular el uso de servicios web gratuitos para difundir spam. Un enlace en el mensaje conduce a una página de spam ubicada en conocidos sitios de hospedaje o blog. Este método se usa para evadir los filtros basados en “estadísticas de reputación” y presupone que los filtros no bloquearán los mensajes que contengan enlaces a servicios legales, como Google Docs, Microsoft SkyDrive, Microsoft Livefilestore y otros.
El spam y las redes sociales
En Rusia, el desarrollo de las redes sociales y los ataques que los spammers lanzan contra los usuarios de estos recursos hacen que sea posible hablar de un nuevo tipo de spam: el que tiene como objetivo a los usuarios de las redes sociales. Se propaga tanto por medio del correo electrónico como a través de las propias redes.
En 2008, en el sector ruso de Internet los spammers enviaban notificaciones falsas en nombre de los administradores de las redes sociales con la intención de inducir a los usuarios a visitar páginas infectadas por programas nocivos, se los incitaba a enviar mensajes SMS o se robaba sus nombres de usuario y contraseñas.
Dentro de las redes sociales, el spam se difundía buscando alcanzar los mismos objetivos.
Estafas spam mediante SMS
En 2008, en el sector ruso de Internet fue muy difundido un tipo de estafa consistente en usar diferentes pretextos para hacer que el usuario enviara mensajes SMS a un número corto. Los estafadores que arriendan estos números cortos reciben altas sumas, porque el precio de enviar un SMS es altísimo.
El terreno es fértil para este tipo de estafas porque en Rusia, a diferencia de otros países, no es necesario recibir una licencia para arrendar un número corto.
Los temas del spam
Distribución de los temas del spam en el sector ruso de Internet
A pesar de que los temas del spam suelen gozar de cierta estabilidad, este año han aparecido nuevas categorías y ha habido cambios en los asuntos líderes.
En el segundo semestre la categoría “Demás bienes y servicios” bajó un 6,4%. Este grupo se caracteriza por la cantidad de pedidos que reciben los spammers por parte del sector real de la economía.
En marzo apareció publicidad de réplicas de artículos de lujo en ruso. Creemos probable que este tipo de correspondencia no solicitada ocupe su nicho en el spam en ruso.
El porcentaje del spam para adultos aumentó en el segundo semestre en más del 15%. Una forma más de lucro es la utilización del spam para vender tráfico de Internet.
La aparición de nuevos temas y los envíos masivos realizados durante largos periodos de tiempo son un testimonio de que la industria del spam ruso está en manos de grandes actores que cuentan con los recursos suficientes para desarrollar estas actividades.
Los sucesos mundiales y el spam
Los spammers utilizan con gran frecuencia los sucesos de importancia mundial. Este año se aprovecharon el Mundial de Fútbol, las elecciones presidenciales de EE UU y la crisis económica mundial.
La mayor parte de los mensajes relacionados con la crisis publicitaban diferentes seminarios anticrisis. Aparte de esto, se usó el tema de la crisis como leitmotiv en la publicidad de artículos y servicios.
Los spammers usaron la campaña preelectoral en EE UU para hacer publicidad de artículos y servicios, además de para realizar envíos masivos de programas nocivos. Hasta la publicidad de Viagra contenía títulos como “Obama didn’t receive free pass” y “Barack Obama’s Victory Speech”. También se hizo publicidad de souvenirs con la imagen de Obama, por ejemplo, en platos:
Conclusión
La crisis económica mundial, que afecta a prácticamente todos los campos de la economía, también tiene su reflejo en la delincuencia informática. Las categorías de spam relacionadas con el sector real de la economía perdieron peso. Al mismo tiempo, los spammers están usando cada vez más frecuentemente tecnologías dirigidas a obtener ganancias inmediatas: estafas spam mediante SMS, venta de tráfico de sitios pornográficos, etc.
La reducción del spam que publicita artículos y servicios es un indicio de que la cantidad de pedidos de spam provenientes del sector real de la economía también ha bajado. La intensificación de los ataques spam de carácter delictivo es un testimonio cabal de que los delincuentes han empezado a perder dinero y están buscando nuevas fuentes de lucro.
En este punto creemos necesario hacer notar que el spam es un fenómeno mundial y que los cambios en su estructura pueden considerarse como uno de los indicadores del estado de la economía. Si se demuestra la correlación entre la estructura del spam y los procesos macroeconómicos, podríamos conocer fin de la crisis por su reflejo en el spam.
Mientras tanto, los usuarios deben tomar en cuenta que la crisis crea premisas para el florecimiento del phishing dirigido a los clientes de los bancos y a los usuarios de sistemas electrónicos de pago.
Creemos que en 2009 el spam no se reducirá y el de tipo delictivo aumentará. Además, durante la crisis el spam puede ser el único método accesible de publicidad para una gran cantidad de empresarios.
Este pronóstico, que considera la incertidumbre creada por la crisis económica mundial, se refiere al primer semestre de 2009. Kaspersky Lab continuará observando el desarrollo de la situación.
De los mismos autores
En la misma categoría
Kaspersky: Boletín de seguridad. El spam en 2008