Symantec MessageLabs Intelligence Report - červenec
Nevyžádaná pošta obsahující zkrácené hypertextové odkazy dosáhla jednodenního maximálního podílu 18 % (23,4 mld. nevyžádaných e-mailů) 30. dubna 2010 a dvojnásobně překonala loňskou nejvyšší úroveň z 28. července 2009, kdy nevyžádaná pošta se zkrácenými hypertextovými odkazy tvořila 9,3 % nevyžádané pošty (více než 10 mld. nevyžádaných-mailů). Nejen vyšší maximální úroveň, ale také průměrné denní hodnoty svědčí o podstatně vyšším využití této taktiky. Ve druhém kvartálu roku 2009 byl pouze jediný den, kdy se zkrácené hypertextové odkazy objevily ve více než 1 z 200 nevyžádaných zpráv. Ve druhém kvartálu roku 2010 bylo 43 dní, kdy zkrácené hypertextové odkazy obsahovala nejméně 1 z 200 nevyžádaných zpráv, a 10 dní, kdy tyto odkazy obsahovalo nejméně 5 % veškeré nevyžádané pošty.
„Pokud jde o tvůrce nevyžádané pošty, budou využívat jakékoli taktiky, které ztíží blokování jejich nevyžádaných e-mailů,“ řekl Paul Wood, MessageLabs Intelligence Senior Analyst, Symantec Hosted Services. „Když tvůrci nevyžádané pošty vloží do nevyžádaných zpráv zkrácené adresy URL, obsahují tyto zkrácené hypertextové odkazy renomované a legitimní domény, čímž se tradičním filtrům nevyžádané pošty ztěžuje rozpoznání zpráv jako nevyžádané pošty na základě pověsti domén nalezených v nevyžádaných e-mailech.“
Podrobnější analýza nevyžádané pošty obsahující zkrácené adresy URL odhalila, že za největší objem nevyžádané pošty obsahující krátké hypertextové odkazy, která byla odeslaná z robotických sítí, odpovídá robotická síť Storm, která se vrátila na scénu v květnu 2010. Připadá na ni 11,8 % veškeré nevyžádané pošty obsahující zkrácené hypertextové odkazy. Velká část nevyžádané pošty s krátkými adresami URL pocházela v tomto měsíci také z dalších zdrojů, včetně neidentifikovaných robotických sítí.
„Robotické sítě jsou častým zdrojem nevyžádané pošty s krátkými adresami URL, ale 28 % tohoto typu nevyžádané pošty pocházelo ze zdrojů, které nemají nic společného s některou známou robotickou sítí. Jedná se například o neidentifikované robotické sítě rozesílající nevyžádanou poštu nebo jiné zdroje, jako jsou účty webových e-mailových služeb vytvořené pomocí nástrojů schopných prolomit techniky CAPTCHA,“ řekl Wood.
Tým MessageLabs Intelligence zjistil, že v průměru každých 74 000 nevyžádaných zpráv obsahujících zkrácený odkaz URL generuje jednu návštěvu webové stránky. Nejčastěji navštívené zkrácené odkazy v nevyžádané poště zaznamenaly více než 63 000 návštěv webových stránek.
Tým MessageLabs Intelligence počátkem tohoto měsíce informoval o zvýšeném riziku webových hrozeb. Počet hrozeb, které služba MessageLabs Hosted Web Security Service v jednotlivých měsících od počátku roku 2010 zablokovala u jednotlivých klientů, je o více než 20 % vyšší než v roce 2009. Analýza domén zablokovaných v roce 2010 odhaluje, že téměř 90 % nebezpečných webových serverů byly legitimní servery, které napadl škodlivý kód bez vědomí jejich majitele.
V červenci tým MessageLabs Intelligence identifikoval také nový nebezpečný phishingový útok využívající jako návnadu aktualizace prohlížeče souborů PDF. Útok se snažil shromáždit údaje o kreditní kartě oběti a tým MessageLabs Intelligence zablokoval do počátku července více než 26 000 těchto phishingových útoků nabízejících „aktualizaci prohlížeče souborů PDF“.
Tým MessageLabs Intelligence odhalil v červenci také cílené útoky o více krocích. Útočník nejprve získal neoprávněný přístup k webovému serveru patřícímu jedné organizaci a odeslal na něj falešnou úvodní stránku s maskovaným kódem JavaScript obsahujícím nebezpečný kód. Dále útočník odeslal vybraným příjemcům ve druhé organizaci nevyžádané e-maily, které předstíraly, že pocházejí z účtu webové e-mailové služby. E-maily obsahovaly odkaz na nebezpečnou úvodní stránku vytvořenou dříve na webovém serveru první organizace.
Další nejdůležitější informace ve zprávě:
Nevyžádaná pošta: V červenci 2010 byl globální podíl nevyžádané pošty v e-mailovém provozu z nových a dříve neznámých závadných zdrojů 88,9 % (1 z 1,12 e-mailů), což je od června pokles o 0,4 procentního bodu.
Viry: Globální podíl e-mailů napadených virem v e-mailovém provozu z nových a dříve neznámých závadných zdrojů byl v červenci jeden z 306,1 e-mailů (0,327 %), což je od června pokles o 0,04 procentního bodu. 17,1 % škodlivého kódu šířeného e-mailem obsahovalo v červenci odkazy na nebezpečné webové servery, což je od června zvýšení o 0,4 procentního bodu.
Hrozby vůči koncovým bodům: Hrozby vůči koncovým zařízením, jako jsou přenosné počítače, osobní počítače a servery, mohou do organizace proniknout několika způsoby, například automatickým stahováním z napadených webových serverů, prostřednictvím trojských koní nebo červů, které se šíří kopírováním na vyměnitelné jednotky. Analýza nejčastěji zablokovaného škodlivého kódu v uplynulém měsíci odhalila, že nejrozšířenější byl virus Sality.AE. Virus Sality.AE se šíří tak, že napadá spustitelné soubory a pokouší se stáhnout z Internetu potenciálně nebezpečné soubory.
Phishing: V červenci byla aktivita phishingu 1 z 557,5 e-mailů (0,179 %), to je od června zvýšení o 0,02 procentního bodu. Pokud je posuzován jako podíl ze všech hrozeb, jako jsou viry a trojské koně, šířených e-mailem, snížil se podíl phishingových e-mailů o 3,2 procentního bodu na 60,2 % ze všech hrozeb (škodlivý kód a phishing) šířených e-mailem.
Zabezpečení webu: Analýza činností zaměřených na zabezpečení webu ukazuje, že 30,5 % nebezpečných domén blokovaných v červenci byly nové domény, což je od června zvýšení o 0,2 procentního bodu. 13,0 % veškerého webového škodlivého kódu blokovaného v červenci byl nový škodlivý kód, což je od minulého měsíce zvýšení 0,5 procentního bodu. Tým MessageLabs Intelligence identifikoval také každý den v průměru 4 425 webových serverů, které se nově staly hostiteli škodlivého kódu a jiných potenciálně nežádoucích programů, jako je spyware a adware, což je od června zvýšení o 176,9 %.
Trendy podle zeměpisných oblastí:
• Úroveň nevyžádané pošty vzrostla v Lucembursku v červenci o 2,4 procentního bodu na 93,5 %. Lucembursko se tak stává zemí s největším podílem nevyžádané pošty.
• V USA bylo 89,8 % e-mailů nevyžádaná pošta, v Kanadě to bylo 88,1 %. Podíl nevyžádané pošty ve Velké Británii byl 87,8 %.
• V Nizozemsku tvořila nevyžádaná pošta 90,4 % e-mailového provozu, v Austrálii dosáhl podíl nevyžádané pošty 88,6 %, v Německu 89,5 % a v Dánsku 91,8 %.
• Podíl nevyžádané pošty dosáhl v Hongkongu 90,6 % a 86,7 % v Singapuru. Podíl nevyžádané pošty v Japonsku byl 86,2 % a 92,1 % v Číně.
• Aktivita virů na Tchaj-wanu byla 1 v 50,0 e-mailů, takže Tchaj-wan zůstal v červenci nejčastějším cílem škodlivého kódu šířeného e-mailem.
• Úroveň virů v USA byla 1 v 520,1 a v Kanadě 1 v 430,8. V Německu byla úroveň virů 1 v 487,8, v Nizozemsku 1 v 767,7, v Austrálii 1 v 516,3, v Hongkongu 1 v 398,9, v Japonsku 1 v 874,5 a v Singapuru 1 v 696,1.
• Nový Zéland se v červenci stal nejčastějším cílem phishingových útoků; 1 z 111,2 e-mailů obsahoval phishingový útok.
Trendy ve vertikálních oborech:
• Nejvíce zamořený nevyžádanou poštou zůstal v červnu sektor strojírenství s podílem nevyžádané pošty 92,6 %.
• Úroveň nevyžádané pošty byla 89,1 % v sektoru vzdělávání, 89,0 % v chemickém a farmaceutickém sektoru, 89,6 % ve službách IT, 89,9 % v maloobchodu, 87,3 % ve veřejném sektoru a 87,4 % ve financích.
• V červenci se sektor strojírenství stal nejčastějším cílem škodlivého kódu mezi všemi obory. Jako nebezpečný zde byl zablokován 1 ze 112,0 e-mailů.
• Úroveň virů v chemickém a farmaceutickém sektoru byla 1 v 449,0, v sektoru služeb IT 1 v 377,5, v maloobchodu 1 v 706,1, ve vzdělávání 1 v 227,3 a ve financích 1 v 256,2.