Lo spam nel mese di maggio 2012

02 lug
Spam News

Marija Namestnikova

Maggio in cifre

  • Rispetto allo scorso mese di aprile, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un decremento del 3,4%, attestandosi in tal modo su un valore medio pari al 73,8%.
  • La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è rimasta invariata rispetto all'analogo valore riscontrato nel mese precedente, facendo pertanto segnare un indice pari allo 0,01% del volume complessivo di messaggi di posta elettronica circolanti in Rete.
  • Nel mese di maggio 2012 sono stati individuati file nocivi nel 3,2% dei messaggi e-mail; il valore di tale indice ha fatto pertanto segnare un incremento dello 0,4% rispetto all'analoga quota percentuale rilevata nel precedente mese di aprile.

Le principali tematiche dello spam di maggio 2012

Spam per il papà... e per la mamma...

Nei mesi di maggio e giugno si celebrano, una dopo l'altra, due ricorrenze ormai diffuse in tutto il mondo: la Festa della Mamma e la Festa del Papà. Nella maggior parte dei paesi le due festività cadono, rispettivamente, nella seconda domenica di maggio e nella terza domenica di giugno (in Italia, la Festa del Papà si celebra invece il 19 marzo, giorno di San Giuseppe).

Nell'anno in corso, in molti paesi dell'Europa Occidentale, così come in Canada e negli Stati Uniti, la Festa della Mamma è stata celebrata il 13 maggio. Tradizionalmente, gli spammer sono soliti prepararsi in maniera molto «accurata» in occasione di tale importante ricorrenza. In effetti, il periodo che precede la Festa della Mamma - oltre, ovviamente, alla vigilia della Festa di San Valentino, il giorno dedicato agli innamorati - è quello maggiormente segnato da un'intensa attività di diffusione dei classici messaggi di spam (principalmente distribuiti nell'ambito delle attività svolte dai programmi di partenariato) che propongono l'acquisto di prodotti floreali di ogni tipo. Un'altra tradizionale tipologia di campagna di spam condotta attraverso i programmi di affiliazione a carattere «stagionale» è quella che prevede l'invio di messaggi e-mail indesiderati reclamizzanti i più disparati articoli da regalo decorati con le simbologie e i motivi tipici della Festa della Mamma.

Nei mesi di maggio e giugno si celebrano, una dopo l'altra, due ricorrenze ormai diffuse in tutto il mondo: la Festa della Mamma e la Festa del Papà. Nella maggior parte dei paesi le due festività cadono, rispettivamente, nella seconda domenica di maggio e nella terza domenica di giugno (in Italia, la Festa del Papà si celebra invece il 19 marzo, giorno di San Giuseppe).

Nell'anno in corso, in molti paesi dell'Europa Occidentale, così come in Canada e negli Stati Uniti, la Festa della Mamma è stata celebrata il 13 maggio. Tradizionalmente, gli spammer sono soliti prepararsi in maniera molto «accurata» in occasione di tale importante ricorrenza. In effetti, il periodo che precede la Festa della Mamma - oltre, ovviamente, alla vigilia della Festa di San Valentino, il giorno dedicato agli innamorati - è quello maggiormente segnato da un'intensa attività di diffusione dei classici messaggi di spam (principalmente distribuiti nell'ambito delle attività svolte dai programmi di partenariato) che propongono l'acquisto di prodotti floreali di ogni tipo. Un'altra tradizionale tipologia di campagna di spam condotta attraverso i programmi di affiliazione a carattere «stagionale» è quella che prevede l'invio di messaggi e-mail indesiderati reclamizzanti i più disparati articoli da regalo decorati con le simbologie e i motivi tipici della Festa della Mamma.

Spam dalla Cina

Nel corso di questi ultimi mesi, all'interno dei flussi di spam sono stati individuati piuttosto frequentemente messaggi e-mail contenenti proposte di collaborazione con i produttori dei più svariati articoli «made in China», oppure con persone disposte ad offrirsi in qualità di intermediari nella conduzione di operazioni commerciali con società cinesi.

Di solito tali e-mail ricordano, sia per il loro stile che per i loro contenuti, i classici messaggi indesiderati riconducibili alla tipologia dello spam «nigeriano» contenente altisonanti e improbabili proposte di investimenti. Si tratta, nella fattispecie, di e-mail che si presentano con testi piuttosto brevi e stringati e che sono solite offrire «allettanti» e «proficue» forme di collaborazione con aziende produttrici situate in paesi emergenti. Nel corpo dell'e-mail, gli spammer inseriscono un indirizzo di posta elettronica che dovrebbe servire al destinatario del messaggio per poter entrare rapidamente in contatto con le imprese.

Nel mese di maggio 2012 abbiamo ricevuto un messaggio da parte di un non ben specificato «produttore cinese». Mentre, di solito, in tali e-mail non viene mai svelato il genere di produzione di cui effettivamente si occupa il mittente del messaggio, oppure vengono solo menzionati in maniera generica i prodotti da quest'ultimo trattati (ad esempio «oggetti di plastica» o «prodotti tessili»), in questo specifico caso l'e-mail sembrava provenire da un «produttore di calze».

Tali messaggi, apparentemente inviati da «produttori» o da «fornitori» cinesi, possono essere ricondotti ad una nuova tipologia di frode allestita sullo sfondo dell'inarrestabile crescita dell'economia cinese. Nella circostanza, i truffatori online cercano di sfruttare attivamente il vivo interesse degli investitori internazionali nei confronti del mercato cinese. E' tra l'altro risaputo che, spesso, anche gli stessi businessmen impegnati nella ricerca di contatti con aziende produttrici cinesi si imbattono in truffatori che fanno di tutto per impossessarsi di somme di denaro messe a disposizione dagli investitori per poi. Riteniamo doveroso sottolineare come, anche in caso di utilizzo da parte dei malintenzionati di fonti di informazione del tutto legittime ed ufficiali, sia improbabile che vengano distribuiti attraverso gli abituali flussi di spam messaggi e-mail provenienti da legittimi imprenditori della Repubblica Popolare Cinese.

Le statistiche di maggio 2012

Geografia delle fonti di spam

In precedenza, nei nostri consueti report mensili dedicati all'analisi del fenomeno spam, le statistiche relative alla ripartizione delle fonti geografiche dei flussi di posta elettronica indesiderata si riferivano alla diffusione su scala globale dei messaggi e-mail «spazzatura». A partire dallo spam report del mese di maggio 2012, Kaspersky Lab inizia invece a pubblicare tali statistiche per singole macro-regioni mondiali. La graduatoria qui sotto riportata, ad esempio, è relativa a quei paesi dal cui territorio sono state distribuite in Rete le maggiori quantità di e-mail di spam destinate alle caselle di posta elettronica di utenti situati in Europa.

Geografia delle fonti di spam rilevate nel mese di maggio 2012 (TOP-20) relativamente ai messaggi e-mail indesiderati inviati
agli utenti della Rete situati sul territorio di paesi europei

La Top-20 di maggio 2012 relativa ai flussi di spam indirizzati verso il continente europeo evidenzia, innanzitutto, come oltre un quarto dei messaggi e-mail «spazzatura» ricevuti dagli utenti dislocati nel Vecchio Continente sia stato distribuito da spammer insediati entro i confini del territorio della Repubblica Popolare Cinese (25,4%). E' di particolare interesse rilevare come sia entrato a far parte di questo specifico rating «regionale» solo un paese situato nella macro-area europea, la Gran Bretagna.

I dati statistici raccolti ed elaborati evidenziano come oltre la metà del volume complessivo dei messaggi e-mail indesiderati inviati verso le caselle di posta elettronica degli utenti della Rete ubicati in Europa sia stato diffuso dal territorio di paesi situati nel continente asiatico; osserviamo, infine, come circa un quinto dello spam destinato al continente europeo abbia avuto quale «fonte» vari paesi situati nell'area geografica latino-americana.

Allegati nocivi rilevati nel traffico di posta elettronica

Nel mese di maggio 2012 sono stati individuati file nocivi nel 3,2% dei messaggi e-mail; il valore di tale indice ha fatto segnare un incremento dello 0,4% rispetto all'analoga quota percentuale rilevata nel precedente mese di aprile.

Ripartizione per paesi dei rilevamenti eseguiti dall'antivirus e-mail

Ripartizione per paesi dei rilevamenti eseguiti nel mese di maggio 2012 dall'antivirus e-mail

Dall'inizio del 2012, la prima posizione della graduatoria relativa alla ripartizione geografica dei rilevamenti eseguiti dal nostro antivirus e-mail è andata ad appannaggio degli Stati Uniti. Nel mese analizzato nel report, la quota attribuibile ai rilevamenti effettuati dal modulo Kaspersky Mail Antivirus entro i confini del territorio statunitense ha fatto registrare un lieve incremento - pari allo 0,68% - rispetto all'analogo valore rilevato riguardo agli USA nel mese precedente.

Il Vietnam, salito in aprile dalla quarta alla seconda posizione della graduatoria, nello specifico rating relativo al mese di maggio 2012 è tornato ad occupare la posizione «presieduta» due mesi fa, in marzo. La quota ascrivibile ai rilevamenti eseguiti dall'antivirus e-mail sul territorio del paese del sud-est asiatico è diminuita sensibilmente (- 4,1%.) Il Vietnam è stato così scavalcato in classifica da due paesi dell'Europa Occidentale, la Germania (+ 6,1%) e la Gran Bretagna (+ 1,9%), insediatesi rispettivamente sul secondo e sul terzo gradino del «podio» virtuale. Dal canto suo, l'Italia è salita al quinto posto del rating; rispetto al precedente mese di aprile.

Allo stesso tempo, le quote riconducibili ad Australia e Hong Kong hanno fatto segnare una sensibile diminuzione, pari rispettivamente al 3,9% e al 3,4%. E’ particolarmente significativo rilevare come, nel mese di maggio, la quota complessiva attribuibile ai rilevamenti effettuati dall'antivirus e-mail sui territori di Cina ed Hong Kong abbia superato il valore dell' 8,5%.

Le variazioni inerenti agli indici percentuali ascrivibili a tutti gli altri paesi presenti nella speciale classifica sopra riportata si sono mantenute entro la soglia del 2%.

TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica

Top-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica nel mese di maggio 2012

La quota percentuale riconducibile ai rilevamenti compiuti nel corso del mese di maggio dall'antivirus e-mail di Kaspersky Lab nell'ambito dei sistemi di posta elettronica riguardo al malware Trojan-Spy.HTML.Fraud.gen ha fatto registrare una diminuzione del 4,9% rispetto ad aprile 2012, attestandosi in tal modo su un valore pari all' 8,8%. Ricordiamo, nella circostanza, come il programma sia stato elaborato dai suoi autori sotto forma di una pagina HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel Web. I dati di registrazione inseriti dall'utente in tali «form» vengono poi carpiti dai malintenzionati. Come è noto, l'utilizzo di tale software nocivo costituisce uno dei principali metodi di attacco presenti nel sempre nutrito «arsenale» dei phisher.

Gli altri “habitué” del rating in questione, i worm di posta elettronica Mydoom.m, Bagle.gt e NetSky.q si sono collocati rispettivamente al secondo, quarto ed ottavo posto della Top-10. Ricordiamo come i worm di posta elettronica riconducibili alle famiglie Mydoom e Netsky siano provvisti di funzionalità tutt'altro che complesse: essi si limitano difatti alla raccolta illecita degli indirizzi e-mail presenti nei computer contagiati; gli account di posta elettronica sottratti vengono in seguito utilizzati per il processo di auto-diffusione condotto in Rete dai programmi nocivi. Bagle.gt è l'unico worm presente nella Top-10 qui analizzata che, oltre alle funzionalità possedute dai suoi «illustri confratelli» sopra menzionati, è provvisto di ulteriori «doti»: tale programma malware è in grado di interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare sui computer-vittima altri software nocivi. E' di particolare interesse rilevare come i worm di posta elettronica costituiscano attualmente la maggioranza degli allegati nocivi individuati dall'Antivirus e-mail nei messaggi di posta elettronica distribuiti nei paesi in via di sviluppo.

Così come due mesi fa, due dei programmi malware facenti parte dello speciale rating di maggio 2012 da noi stilato risultano essere falsi antivirus riconducibili alla famiglia Fraudload. La principale funzionalità di cui sono provvisti tali software è rappresentata dalla possibilità di estorcere somme di denaro agli utenti dei computer-vittima infettati.

Phishing

La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è rimasta invariata rispetto al valore riscontrato nel mese precedente, facendo pertanto segnare un indice pari allo 0,01% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese
di maggio 2012 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel Web.

La graduatoria di maggio 2012 relativa alle organizzazioni più frequentemente bersagliate dai phisher, da noi stilata sulla base dei rilevamenti effettuati dal modulo Anti-phishing, evidenzia il ritorno della categoria «Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari» (24,5%). Rispetto al precedente mese di aprile, nell'ambito degli attacchi orditi dai phisher, la quota riconducibile alla suddetta categoria ha fatto registrare un aumento pari allo 0,9%.

I social network, che nello scorso mese di aprile si erano posizionati al vertice della classifica in questione, sono ritornati ad occupare il secondo posto, per quanto la quota ad essi ascrivibile presenti una differenza davvero esigua (soltanto lo 0,08% in meno) rispetto all'indice fatto segnare dal settore finanziario. Nonostante, rispetto al mese precedente, la quota degli assalti di phishing condotti nei confronti dei social network sia diminuita di quasi il 4,5%, gli attacchi contro Facebook hanno rappresentato, da soli, quasi il 20% del volume complessivo degli attacchi globalmente portati dai phisher. Facebook, la rete sociale più estesa del pianeta, continua quindi a rimanere uno dei bersagli prediletti dai phisher, anche se l'interesse è diminuito.

Per il momento, l'indice percentuale riconducibile alla categoria «Giochi online» si mantiene sui livelli fatti riscontrare nei mesi precedenti. Al contrario, la quota relativa agli attacchi di phishing subiti dalle organizzazioni riunite nella categoria «Negozi Internet e aste online» evidenzia un aumento rispetto all'analogo valore riscontrato nel precedente mese di aprile (+ 2,1%).

Le variazioni relative alle quote percentuali inerenti alle altre categorie presenti nella speciale classifica di maggio si sono tutte mantenute entro la soglia limite dell' 1,5%.

Composizione tematica dello spam

Categorie tematiche rilevate nei flussi di spam del mese di maggio 2012

La tendenza relativa alla progressiva crescita della quota inerente alla categoria «Finanze personali», controbilanciata dal decremento dell'indice ascrivibile alla categoria «Truffe informatiche», è proseguita durante il mese di maggio; l'indice relativo alla categoria leader del rating di maggio 2012 - «Truffe informatiche» - ha fatto registrare una diminuzione del 2,8% al valore riscontrato nel mese precedente, mentre la quota riconducibile alla tematica «Finanze personali» ha invece evidenziato un aumento pari a 3,9 punti percentuali.

Desideriamo porre in evidenza la diminuzione della quota relativa ai messaggi e-mail di spam ascrivibili alla categoria tematica «Giochi d'azzardo» (- 2,4%). Sebbene nel mese di maggio 2012 abbia fatto registrare un leggero decremento, l'indice relativo ai messaggi fraudolenti individuati nell'ambito dello spam elaborato in lingua inglese continua a mantenersi su livelli decisamente elevati.

Si è infine verificata, in maniera del tutto inattesa, una marcata diminuzione della quota percentuale relativa alla categoria «Viaggi e vacanze» (- 3,6%), nonostante l'approssimarsi della stagione delle vacanze estive.

Conclusioni

Nel mese di maggio 2012, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare una diminuzione. Potrebbe essersi trattato di un tipico decremento a carattere «stagionale»; in tal caso, l'indice percentuale relativo ai messaggi indesiderati presenti nei flussi e-mail sarà destinato a mantenersi su livelli contenuti fino al mese di agosto. E' verosimile che tale situazione possa invece ben presto assumere i contorni di un vero e proprio fenomeno «sistemico», per cui le quote dello spam rilevato nel traffico e-mail potrebbero scendere stabilmente al di sotto della fatidica soglia del 70%. In cifre assolute, una diminuzione del 3,4% dell'indice relativo allo spam rappresenta un decremento decisamente consistente, corrispondente ad una quota non inferiore al 15% del numero complessivo di messaggi indesiderati distribuiti in Rete.

Per ciò che riguarda la composizione tematica dello spam diffuso nelle e-mail degli utenti nel corso del mese di maggio 2012, appare subito chiaro come la categoria «Viaggi e vacanze» abbia evidenziato un comportamento piuttosto insolito. E' difficile dire se nel mese di giugno la quota relativa a tale tematica sia destinata ad aumentare o meno.

Relativamente al fenomeno phishing, è di particolare interesse sottolineare come, nonostante la categoria «Social network» abbia ceduto alla categoria «Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari», circa il 20% del volume complessivo degli attacchi condotti dai phisher sia stato indirizzato proprio agli utenti di Facebook. Inoltre, per i phisher, la stagione delle vacanze estive per studenti significa solo una fisiologica crescita del numero dei fruitori di attività online ma anche un consistente aumento del giro d'affari dei negozi Internet.