Lo spam nel mese di Maggio 2011

Maria Namestnikova

Maggio in cifre

  • Rispetto allo scorso mese di aprile, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento del 2,1%, attestandosi su un valore medio pari all' 82,9%.
  • La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è diminuita dello 0,01% rispetto agli analoghi valori riscontrati nel mese precedente, facendo pertanto segnare un indice pari allo 0,02% del volume complessivo dei messaggi di posta elettronica circolanti in Rete.
  • Nel maggio 2011 sono stati individuati file malevoli nel 4,1% dei messaggi e-mail; tale indice ha fatto registrare un incremento dello 0,45% rispetto ai valori rilevati nel mese precedente.

Breve rassegna dei principali avvenimenti del mese

L'uccisione del terrorista numero 1 al mondo: i riflessi sulle dinamiche dello spam

La morte di Osama Bin Laden è stata utilizzata in maniera quasi «entusiastica» e sistematica da parte degli spammer, in quanto tema caldo del mese.

I più veloci a reagire alla notizia dell'uccisione del terrorista più ricercato al mondo sono stati proprio i malintenzionati della Rete che abitualmente si «dilettano» nel distribuire in ogni angolo del pianeta pericolosi programmi malevoli. In un post pubblicato sul nostro blog sono stati descritti nel dettaglio gli stratagemmi e le modalità di cui si sono avvalsi i cybercriminali in questione per diffondere insidiosi software nocivi sui computer degli utenti di Internet; i malfattori hanno ovviamente cercato di sfruttare al massimo la naturale curiosità degli utenti, al fine di indurre questi ultimi a cliccare su link nocivi presenti nei messaggi spam o scaricare allegati malevoli. Immediatemente dopo, si sono attivati i tradizionali distributori in Rete di spam «farmaceutico».

Abbiamo anche individuato ulteriori campagne di spam aventi per tema l'uccisione di Bin Laden in Pakistan, talune in verità piuttosto inattese nell'ambito di una simile tematica.

Con lo scopo di indurre gli utenti ad effettuare il download di software a pagamento, i malintenzionati della Rete inondano spesso le caselle di posta elettronica con messaggi di spam dedicati agli argomenti più disparati e fantasiosi; a volte, gli spammer propongono ai destinatari delle loro e-mail indesiderate l'utilizzo del servizio Google Earth per esplorare, ad esempio, il presunto luogo di atterraggio di un'astronave aliena o, magari, poter visionare dall'alto una segretissima base militare, ritenendo che gli utenti possano risultare particolarmente «sensibili» a tematiche così eclatanti e possano quindi cadere con maggior facilità nel tranello teso. In tali messaggi «spazzatura», anziché inserire link che conducano i malcapitati verso l'affascinante mondo di Google Earth, i malfattori sono soliti collocare specifici link a siti che, in realtà, propongono il download di software a pagamento. In uno degli ultimi invii di massa condotti, gli spammer hanno addirittura subdolamente proposto agli utenti la falsa opportunità di poter esplorare da vicino, tramite Google Earth, il compound di Osama Bin Laden, il famoso fortino in territorio pakistano nel quale il superterrorista si era nascosto nel corso di questi ultimi anni.

spamreport_may2011_pic01senlarge

La notizia della morte di Bin Laden è stata ampiamente sfruttata anche dagli spammer abitualmente dediti a diffondere nelle caselle di posta elettronica le cosiddette e-mail «nigeriane». In uno dei tipici messaggi di tal genere inviati di recente, questi «arguti» e fantasiosi truffatori sono addirittura giunti a comunicare ai destinatari dell'e-mail qualcosa di estremamente spiacevole e preoccupante: le «vittime» di tale cruenta campagna di spam venivano difatti minacciate di imminente arresto, in quanto sospettate di presunta collaborazione con i terroristi. Il motivo di tale «fondato» sospetto era costituito da una cospicua somma di denaro apparentemente trasferita sul conto bancario dell'utente, vittima dell'e-mail truffaldina. Secondo quanto falsamente comunicato nel suddetto messaggio di spam, la presenza di un simile considerevole importo illegittimo era stata rilevata proprio nel momento in cui vari servizi di intelligence mondiali, dopo l'eliminazione di Osama Bin Laden, avevano intrapreso una febbrile ricerca, in ogni angolo del globo, di tutti gli eventuali complici dei terroristi. I «nigeriani» autori del messaggio e-mail in questione promettevano infine lo scagionamento da ogni presunta colpevolezza e, per di più, il consueto importo in milioni di dollari nel caso in cui il destinatario dell'e-mail fraudolenta si fosse preso la briga di intraprendere con tali truffatori i soliti non ben definiti rapporti di affari e collaborazione.

spamreport_may2011_pic02senlarge

Visto che negli ultimi mesi si sono registrati con notevole frequenza eventi particolarmente eclatanti su scala mondiale, desideriamo ricordare ancora una volta a tutti gli utenti della Rete come gli spammer siano soliti sfruttare, in ogni circostanza, qualsiasi tema «caldo» del momento per perseguire i loro scopi fraudolenti. Si prega pertanto di prestare sempre la massima attenzione nello svolgimento delle proprie attività online, al fine di non cadere nelle consuete «trappole» più o meno abilmente tese dai malfattori.

Lo spam e la legge: la situazione attuale in Russia

Nel corso dei mesi passati, nei nostri consueti resoconti sulle più svariate sfaccettature del fenomeno spam a livello globale, abbiamo più volte riferito in merito alle azioni intraprese a livello legislativo, da parte degli enti governativi di numerosi paesi, per contrastare il dilagare delle e-mail indesiderate all'interno dei flussi di posta elettronica. Fondamentalmente, abbiamo provveduto ad analizzare le varie leggi attualmente esistenti in materia in determinati paesi, verificando l'efficacia dei provvedimenti legislativi adottati all’interno di tali nazioni, ed assumendo quale specifico parametro di valutazione la reale capacità di questi ultimi di individuare e punire i malintenzionati responsabili della conduzione di campagne di spam di ogni sorta.

Non ci stancheremo mai di sottolineare come la lotta nei confronti dello spam possa raggiungere il massimo grado di efficacia proprio quando gli spammer vengono messi di fronte alle loro precise responsabilità penali, per essere poi assicurati alla giustizia. Evidenziamo inoltre come uno dei principali tratti distintivi del business criminale legato allo spam sia rappresentato dalla sua specifica connotazione di internazionalità, su scala globale. Per contrastare efficacemente gli invii di massa non autorizzati, risultano pertanto necessari provvedimenti legislativi particolarmente «forti» e risolutivi, da adottare in ogni paese.

Al momento attuale, la Russia può essere collocata, tra quegli stati in cui non esiste ancora una legislazione efficace e completa nei confronti del dilagare delle e-mail indesiderate nel traffico di posta elettronica. La situazione che si registra di questi tempi sul territorio della Federazione Russa è in ogni caso di sicuro destinata a cambiare, peraltro a breve termine. In effetti, proprio all'inizio di maggio 2011, sono stati compiuti i primi importanti e significativi passi verso la stesura di una legge anti-spam di particolare efficacia da parte di un apposito gruppo di lavoro istituito presso la Duma di Stato della Federazione Russa, gruppo del quale fanno parte anche gli esperti di Kaspersky Lab.

Si presuppone che la legge anti-spam sopra menzionata potrà essere promulgata all'incirca tra un anno. Da parte nostra, seguiremo ovviamente con grande attenzione tutti i progressi via via realizzati nella formulazione e nel successivo processo di approvazione di tale prezioso provvedimento legislativo, in quanto riteniamo che esso rappresenterà di sicuro uno strumento essenziale ed indispensabile per condurre una lotta davvero efficace nei confronti delle attività illecite svolte dagli spammer insediati sul territorio russo; è importante ricordare come, ai giorni nostri, è proprio all'interno della Federazione Russa che si «annidano» numerosi rappresentanti di spicco del business cybercriminale legato alle campagne di spam.

Le statistiche di Maggio 2011

Quota di spam nel traffico di posta elettronica

Rileviamo, in primo luogo, come il valore percentuale relativo alla quota di spam presente nel traffico di posta elettronica continui ancora ad aumentare progressivamente. In effetti, rispetto al mese di aprile, tale indice ha fatto segnare un ulteriore incremento del 2,1%, attestandosi in tal modo su un valore medio dell' 82,9%.

spamreport_may2011_pic03

Così come avevamo previsto, nel mese analizzato nel presente report la quota percentuale relativa ai messaggi di spam presenti nel flusso globale delle e-mail ha sfiorato il valore medio dell' 83%, raggiungendo in tal modo la stessa quota media di spam fatta registrare nella prima metà del 2010. L'indice più basso di tutto il periodo qui esaminato, pari al 72,4%, è stato rilevato il 7 maggio scorso. La maggior quantità di spam ricevuta dagli utenti è stata invece riscontrata il 29 maggio, con un valore pari al 91,4%.

Geografia delle fonti spam

Nel mese di maggio 2011 al primo posto della Top-20 dedicata alla geografia delle fonti di spam troviamo di nuovo l'India; dal territorio del paese asiatico è stato diffuso in Rete l' 11,35% (- 1,41%) di tutto lo spam mondiale.

spamreport_may2011_pic04senlarge
Geografia delle fonti di spam rilevate nel mese di maggio 2011

Risulta evidente come la Federazione Russa continui a perdere posizioni nell'ambito della speciale graduatoria da noi stilata riguardo alle principali fonti geografiche dello spam. In effetti, nel mese di maggio 2011, la quota relativa ai flussi di posta indesiderata provenienti dal territorio russo è diminuita di un ulteriore mezzo punto percentuale; nel rating da noi elaborato, rispetto al mese precedente, la Russia è così scesa di una posizione, passando dalla quarta alla quinta piazza. In generale, in questo mese le variazioni relative alle quote di spam diffuse dal territorio dei vari paesi presenti in classifica non hanno superato il valore dell'uno per cento, sintomo di un'evidente stabilizzazione degli indici relativi alla geografia delle principali fonti di messaggi «spazzatura».

Allegati malevoli rilevati nel traffico di posta elettronica

Nel mese analizzato nel presente report sono stati riscontrati file malevoli nel 4,1% dei messaggi e-mail di spam. Si tratta di un valore superiore dello 0,45% rispetto all'analogo tasso rilevato nel mese precedente.

Russia e USA, i due paesi che in questi ultimi tempi si sono costantemente collocati ai vertici della graduatoria sotto riportata, relativa alla ripartizione geografica dei rilevamenti eseguiti dal nostro antivirus e-mail, hanno ancora una volta invertito le loro posizioni in classifica. Al primo posto del rating ritroviamo la Federazione Russa, la cui quota percentuale ha fatto segnare un incremento superiore al 4%. Il secondo gradino del «podio» è andato invece ad appannaggio degli Stati Uniti, il cui indice percentuale ha comunque fatto segnare una flessione pari al 3,5% circa.

spamreport_may2011_pic05senlarge
Ripartizione per paesi dei rilevamenti eseguiti nel mese
di maggio 2011 dall'antivirus e-mail

India e Vietnam, per parte loro, hanno evidenziato un sensibile incremento dei rispettivi indici percentuali relativi al volume complessivo di messaggi e-mail malevoli neutralizzati sul proprio territorio dall'antivirus e-mail. Il Vietnam ha così sopravanzato in classifica la Gran Bretagna, andando in tal modo a collocarsi sul gradino più basso del «podio». Nel mese di maggio 2011, oltre l'8% di tutti i rilevamenti eseguiti dall'antivirus dedicato alla posta elettronica si è prodotto proprio sul territorio del paese situato nel sud-est asiatico. L'India, con una quota percentuale pari al 5,21% ha poi superato Germania e Italia nel rating da noi stilato.

Mentre gli indici relativi a Vietnam ed India hanno fatto rispettivamente registrare un incremento pari al 2,2% e allo 0,92%, la quota relativa ai rilevamenti effettuati dal nostro antivirus sul territorio dell'Australia è diminuita dell' 1,66%; sensibili diminuzioni sono state ugualmente riscontrate in Germania (- 0,94%) e Gran Bretagna (- 0,5%). Si è in tal modo ripresentato il quadro consueto, già noto da tempo: ogni volta che nell'ambito di tale classifica diminuiscono gli indici relativi ai paesi ad elevato tasso di sviluppo, aumentano, di riflesso, i valori percentuali riconducibili alle nazioni in via di sviluppo.

Nonostante gli evidenti cambiamenti intervenuti a livello di ripartizione geografica mondiale dei principali bersagli degli invii di massa recanti contenuti «malevoli», la classifica di maggio 2011 relativa ai software nocivi più frequentemente riscontrati nel traffico e-mail si compone in sostanza, quasi per intero, di programmi malevoli già ampiamente noti:

spamreport_may2011_pic06senlarge
Top-10 relativa ai programmi malevoli maggiormente diffusi
nel traffico di posta elettronica nel mese di maggio 2011

Oltre il 10% dei rilevamenti eseguiti dall'antivirus e-mail ha riguardato il ben noto programma malware Trojan-Spy.HTML.Fraud.gen.

Il software malevolo Trojan.HTML.Fraud.fc, entrato a far parte solo nel mese di aprile scorso della Top-10 relativa ai programmi dannosi più frequentemente riscontrati nei flussi e-mail globali, è andato ad occupare la terza posizione della speciale graduatoria da noi elaborata; si tratta, in sostanza di una pagina web di phishing, appositamente allestita dai cybercriminali allo scopo di realizzare il furto di dati sensibili di natura finanziaria relativi agli utenti online di un celebre istituto bancario brasiliano.

I worm di posta elettronica denominati EmailWorm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt ed Email-Worm.Win32.NetSky.q si sono autorevolmente insediati all'interno del rating esaminato in questo capitolo del report, andando a collocarsi rispettivamente in seconda, quarta ed ottava posizione. Come abbiamo già evidenziato in alcuni nostri precedenti resoconti mensili sul fenomeno spam, i programmi malware Mydoom.m e NetSky.q sono dotati di due sole funzionalità: essi si limitano difatti alla raccolta illecita degli indirizzi e-mail presenti nei computer contagiati; tali account di posta elettronica sono in seguito utilizzati per il processo di auto-diffusione condotto in Rete dai malware. Bagle.gt, oltre alle suddette funzionalità, tipiche dei più comuni worm di posta elettronica, possiede ulteriori «doti»: questo malware è difatti in grado di interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare sui computer-vittima ulteriori programmi malevoli.

Il quinto ed il settimo posto della graduatoria sopra riportata sono andati rispettivamente ad appannaggio dei programmi malevoli Trojan-Downloader.Win32.FraudLoad.zerc e Trojan-Downloader.Win32.FraudLoad.zept. Tali varianti di malware costituiscono delle «new entry» nella nostra speciale classifica di maggio 2011 dedicata ai software nocivi individuati con maggior frequenza all'interno del traffico e-mail. Occorre tuttavia sottolineare come, nel corso del 2010, siano entrati spesso a far parte del rating in questione vari altri rappresentanti della famiglia di malware alla quale appartengono i due suddetti Trojan-Downloader. Nel periodo a cavallo tra la fine del 2010 e l'inizio del 2011, i programmi malevoli riconducibili alla famiglia FraudLoad erano in pratica scomparsi dalla Top-10. Ricordiamo, con l'occasione, come la principale funzionalità nociva da essi posseduta sia rappresentata dall'esecuzione del download di antivirus fasulli sui computer-vittima infettati. Sottolineiamo, infine, come soltanto nello scorso mese di aprile, dopo un lungo intervallo di tempo, un rappresentante della famiglia Trojan-Downloader.Win32.FraudLoad fosse di nuovo entrato a far parte della TOP-10 relativa ai programmi malevoli più frequentemente riscontrati nel traffico e-mail.

Phishing

La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è diminuita dello 0,01% rispetto agli analoghi valori riscontrati nel mese di aprile 2011, facendo pertanto segnare un indice pari allo 0,02% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

Il grafico qui sotto riportato evidenzia come la Top-10 relativa alle organizzazioni sottoposte con maggior frequenza agli attacchi portati dai phisher risulti per l'ennesima volta capeggiata da PayPal; peraltro, rispetto al precedente mese, il noto sistema di pagamento online ha fatto segnare un pronunciato aumento del proprio indice percentuale (+ 23,28%). La seconda posizione della speciale classifica di maggio 2011 risulta nuovamente occupata da eBay (+ 2,5%); la quota percentuale relativa alla celebre casa d'aste online, dopo la forte flessione evidenziata in aprile, torna quindi a salire sensibilmente.

spamreport_may2011_pic07senlarge
Top-10 relativa alle organizzazioni maggiormente sottoposte
agli attacchi di phishing nel mese di maggio 2011

La novità più sorprendente nell'ambito del rating relativo agli attacchi condotti dai phisher nel corso del mese di maggio 2011, è senza dubbio rappresentata dalla comparsa in classifica di RuneScape: il popolare gioco di ruolo online, gratuito, è difatti andato ad insediarsi repentinamente fin sul terzo gradino del podio (4,67%), scavalcando in tal modo nettamente i tradizionali leader della nostra speciale graduatoria, quali Facebook (- 1,82% ; 5œ posto) ed Habbo (- 1,36% ; 6œ posto). Nel rating di maggio, RuneScape ha ugualmente sopravanzato i sistemi di banking online maggiormente bersagliati dai phisher: Santander (- 0,13%), HSBC (- 1,25%) e LloydsTSB (-0,03%).

Lo stesso World of Warcraft (- 1,24%) - omologo a pagamento di RuneScape - è stato decisamente «surclassato» da quest'ultimo. Verosimilmente, il crescente interesse dimostrato dai phisher nei confronti di RuneScape è direttamente connesso alla sempre più crescente popolarità di cui godono attualmente i giochi online gratuiti. D'altronde, i phisher hanno la ghiotta opportunità di poter realizzare dei buoni profitti da qualsiasi servizio di gioco presente online, anche nel caso in cui quest'ultimo si presenti sotto forma gratuita. In effetti, i creatori di tali servizi, dovendo ovviamente ricavare dei profitti dalla loro attività, si adoperano spesso per proporre agli utenti del gaming online specifiche modalità a pagamento, le quali consentono una tipologia di gioco molto più ricca e sofisticata, con maggiori possibilità ed un numero molto più elevato di oggetti disponibili per i cosiddetti “personaggi”. Ovviamente, le particolari forme di membership a pagamento proposte dagli autori dei giochi online gratuiti - al pari degli scambi commerciali previsti tra gli utenti di tali piattaforme - risultano particolarmente appetibili per i malintenzionati della Rete dediti al phishing. Rimangono tuttavia ancora oscuri i motivi che hanno determinato il repentino calo di interesse da parte dei phisher nei confronti di WoW, il quale rimane pur sempre - a detta di tutti gli esperti del settore - il gioco online tuttora più diffuso al mondo. Probabilmente, tali circostanze sono dovute agli sforzi profusi dalla Blizzard Entertainment - la società che ha sviluppato World of Warcraft - al fine di proteggere e tutelare i propri utenti.

Conclusioni

Nel mese di maggio 2011, l'evento che ha maggiormente catturato l'attenzione degli spammer è risultato ovviamente essere la morte del re del terrore, Osama Bin Laden; le tematiche connesse a tale sensazionale avvenimento sono state difatti ampiamente sfruttate dai malintenzionati per la conduzione di massicce campagne di spam. Purtuttavia, nel corso di questa primavera, si sono prodotti sugli scenari mondiali ulteriori eventi di primaria importanza, tutti quanti regolarmente utilizzati dagli spammer nei loro mailing di massa. In pratica, tutti i tragici fatti che hanno caratterizzato questa prima parte dell'anno 2011 sono stati largamente sfruttati da criminali e truffatori informatici per rendere ancor più temibile e variegato il proprio arsenale offensivo. E' quindi proprio in relazione a tali circostanze che desideriamo richiamare ancora una volta l'attenzione di tutti gli utenti, affinché vengano costantemente adottate valide misure precauzionali e la massima accortezza durante lo svolgimento delle attività online.

Quanto alle iniziative legislative intraprese su scala mondiale per cercare di contrastare il dilagare dei messaggi indesiderati nei flussi di posta elettronica, ci sembra più che doveroso ricordare come in Russia siano stati recentemente compiuti i primi seri e significativi passi verso l'adozione di un quadro normativo ben solido e finalmente efficace nei confronti dello spam. Si tratta di una serie di provvedimenti legislativi che risulteranno di estrema importanza non solo sul piano locale, ma anche a livello globale. E' difatti ampiamente noto agli esperti di sicurezza IT il fatto che una parte consistente dello spam-business sia concentrata proprio sul territorio della Federazione Russa. Da parte nostra, ci rendiamo perfettamente conto che l'adozione all'interno di un singolo paese di efficaci misure legislative nei confronti dell'imperversare in Rete delle e-mail «spazzatura» è naturalmente ben lungi dal poter risolvere radicalmente il problema esistente, e quindi dal provocare la totale scomparsa dei messaggi di spam dal mondo di Internet. Siamo tuttavia pienamente convinti che la lotta condotta sul piano legale nei confronti degli spammer da parte delle forze di cyberpolizia e di tutti gli organi competenti possa davvero costituire la piattaforma ideale per produrre, con il tempo, una sensibile diminuzione dei volumi di spam presenti in Rete. Non solo: quanto maggiore sarà il numero dei paesi impegnati nell'adozione di misure legislative atte a contrastare efficacemente le e-mail indesiderate, tanto più risulterà poi facile, per le forze dell'ordine, ottenere significativi successi nella lotta tenacemente condotta contro gli spammer.