Spam: Návrat obrázků a summit G20

28. 4. 2009

Sdílet

V současné době jsou obrázky umístěny nikoliv přímo v e-mailu, ale na hostingových serverech a využívají přesměrovací odkazy z renomovaných webů, pomocí kterých se zastírá jejich skutečné umístění.

Společnost Symantec oznámila vydání své dubnové zprávy 2009 MessageLabs Intelligence Report. Analýza upozorňuje, že během jednoho měsíce došlo k nárůstu nevyžádané pošty o téměř 10 %. Nevyžádaná pošta představuje 85,3 % všech e-mailů, což je úroveň dosažená naposledy v září 2007.

Dubnový ostře sledovaný summit G20 byl příčinou nárůstu cílených útoků škodlivého kódu. Dále se také podstatně zvyšoval počet každodenně zachycených nebezpečených webových serverů. Každý den bylo v průměru zachyceno již 3 561 serverů.

„Obrázková nevyžádaná pošta byla fenoménem, který dosáhl svého vrcholu v roce 2007. Nyní jsme svědky toho, jak tvůrci nevyžádané pošty oživují své techniky v naději, že se bude historie opakovat,“ uvedl Paul Wood ze společnost Symantec. „Naneštěstí pro tvůrce nevyžádané pošty jsou lidé na druhé straně barikády na návrat obrázkové nevyžádané pošty připraveni, takže počítačoví zloději museli podstatně přepracovat své taktiky, pokud chtějí dosáhnout nějakých výsledků.“

Mezi obrázkovou nevyžádanou poštu se dříve řadily e-maily obsahující přílohy, například soubory s příponou GIF nebo JPG, ve kterých byl vlastní nevyžádaný obsah. V současné době jsou však tyto obrázky umístěny na „neprůstřelných“ hostingových serverech a využívají přesměrovací odkazy z renomovaných webů, pomocí kterých se zastírá jejich skutečné umístění. Tvůrci nevyžádané pošty obcházejí pomocí této techniky filtry nevyžádané pošty, které prověřují domény v odkazech obsažených v e-mailech, vyhodnocují charakter těchto domén a pravděpodobnost, že se jedná o nevyžádanou zprávu.

K dalším technikám používaným k zamezení zjištění patří vložení určitého standardního textu do obsahu zprávy, například informací o možnosti odmítnutí dalších zpráv, odkazů na zásady ochrany osobních údajů, jejichž cílem je vytvořit celkové zdání legitimní zprávy, která je v souladu se zákony, například se zákonem CAN-SPAM platným v USA. Další často používané taktiky jsou vložení náhodných slov do obsahu zprávy za účelem obejití technik zjištění pomocí otisků zpráv, a použití značek jazyka HTML k ukrytí náhodného textu.

Summit G20 byl předmětem intenzivní pozornosti médií na celém světě a v posledních dvou měsících také důvodem nárůstu cílených útoků škodlivého kódu, které dosáhly nejvyšší intenzity počátkem dubna.

bitcoin_skoleni

Cílem těchto útoků byly finanční organizace, včetně jednotlivců z některých centrálních bank zemí náležejících do skupiny G20. E-mail obsahoval přílohu PDF, která by po otevření způsobila nainstalování a spuštění trojského stahovacího programu. Ten by do cílového počítače následně stáhl další spywarové součásti. Bylo pozorováno, že některé útoky byly reakcí na neškodné e-maily, z čehož plyne, že nejméně jeden z příjemců byl již infikován.

Neustále se zvyšuje také počet nebezpečných webových serverů. V dubnových statistikách je dobře patrný nárůst o 27,3 % a to znamená, že každý den je v průměru zablokováno 3 561 nových nebezpečných webových serverů. Původcem je řada hrozeb, mezi jinými automatické stahování trojských koní z webu, trojské koně skryté v souborech PDF, škodlivý kód vydávaný za sobory GIF, které jsou ve skutečnosti spustitelnými soubory, a nebezpečné značky HTML IFRAME. Poslední uvedená hrozba je většinou důsledkem narušení webového serveru útokem využívajícím techniku SQL injection.