Gli spammer creano servizi di URl-shortening spam-friendly utilizzando software gratuiti open-source; l’Europa dell’Est colpita da un’applicazione premium-rate per la creazione di SMS
Symantec ha annunciato i risultati del Symantec Intelligence Report di ottobre 2011. L’analisi di questo mese rivela che per la prima volta gli spammer hanno istituito un vero e proprio servizio di abbreviazione URL disponibile al pubblico e in grado di generare dei veri link abbreviati. Fino ad oggi questi link sono stati trovati solo ed esclusivamente in email spam.
Durante il 2010, il 92% delle email spam conteneva almeno un URL, e l’uso di link abbreviati rendeva ancora più difficile per gli anti-spam tradizionali l’adozione di contromisure per bloccare i messaggi basandosi sul fingerprinting degli URL. I servizi legittimi rispondono con maggiore tempestività agli abusi e gli spammer sfruttano il fatto che molte persone hanno familiarità con i link abbreviati a causa del loro uso nei social media, e hanno sviluppato un falso senso di sicurezza nei loro confronti.
Il Symantec Intelligence aveva già individuato quest’anno un servizio di URL shortening creato dagli spammer per camuffare meglio i loro siti spam e renderli più difficili da bloccare. L’analisi di questo mese indica che un gruppo di spammer con almeno 80 siti di URL shortening – tutti con un modello di naming simile – è stato operativo e ha utilizzato il dominio top-level .info. Tuttavia, a differenza di siti di URL shortening individuati in precedenza quest’anno, il form utilizzato è disponibile al pubblico.
“Gli spammer stanno utilizzando degli script di URL shortening gratuiti e open-source per questi siti. Dopo aver creato numerosi URL abbreviati con i propri servizi, gli spammer hanno inviato dello spam contenente questi URL. Gli spammer utilizzano oggetti mail studiati per attirare l’attenzione, come “E’ passato molto tempo da quando ci siamo visti l’ultima volta!”, “Mi ha fatto piacere che tu sia venuto” e così via. Questa è una tattica comune di social engineering, ed è studiata per suscitare la curiosità, sfruttando un falso senso di sicurezza generato dai link abbreviati” ha dichiarato Paul Wood, Senior Intelligence Analyst, Symantec.cloud.
“E’ possibile che gli spammer stiano creando dei loro siti di URL shortening considerando che i siti di URL shortening legittimi, che hanno sofferto a lungo di abusi, hanno migliorato leggermente le funzionalità per l’individuazione dello spam e di altri URL malevoli. Non è ancora chiaro perché questi siti siano pubblici. Forse è semplicemente dovuto ad una pigrizia da parte degli spammer o forse si tratta di un tentativo di far sembrare questi siti legittimi,” ha dichiarato Wood.
Durante il mese di ottobre, il Symantec Intelligence ha individuato anche un’applicazione per la creazione di SMS premium rate volta a colpire l’Europa dell’Est. L’applicazione cercava di farsi passare per un app legittima imitando una famosa applicazione di VoIP/messaging.
“Applicazioni premium per la creazione di SMS compaiono sempre più spesso nel mondo mobile, specie nell’Europa dell’Est. Non sorprende che gli autori responsabili dell’utilizzo di queste fonti di lucro abbiano,in apparenza, compiuto un’evoluzione nelle loro tattiche passando a nuove piattaforme” ha dichiarato Wood.
Altri highlight del report:
Spam: Ad ottobre 2011, la percentuale di spam globale nel traffico email è diminuita al 74,2 % (1 su 1,35 email); una diminuzione del 0,6% rispetto a settembre 2011.
Phishing: Ad ottobre, le attività di phishing sono diminuite dello 0,07% rispetto a settembre; una mail su 343,1 (0,29%) comprendeva qualche forma di attacco di phishing
Minacce contenute nelle email: Nel traffico email, il numero globale di virus provenienti da email è stato pari a 1 su 235,8 (0,42%) ad ottobre, con una diminuzione di 0,11 punti percentuali rispetto a settembre 2011.
Minacce malware web-based: Durante il mese di ottobre, il Symantec Intelligence ha identificato una media di 3.325 siti web al giorno che ospitavano malware o altri programmi non desiderati come spyware e adware; una diminuzione del 4,3% rispetto a settembre 2011.
Minacce per gli endpoint: Il malware bloccato con maggior frequenza durante lo scorso mese è stato W32.Sality.AE, un virus che infetta file in esecuzione e tenta di scaricare file malevoli da Internet.
Trend geografici:
Spam
• L’Arabia Saudita è rimasto il paese più colpito con un livello pari a 80,5%.
• La Russia conserva la seconda posizione con il 79,9%.
• In USA il 73,8% delle mail era spam, in Canada il 73.2%.
• In UK il livello di spam era del 74,8%.
• Nei Paese Bassi il 75,6% del traffico email era spam, il 74,8 % in Germania, il 75,7 % in Danimarca e il 72,8 % in Australia.
• Il livello di spam di Hong Kong ha raggiunto il 73,4 %, il 72,2 % a Singapore, il 70,8 % in Giappone.
• In Sud Africa, il 74,8 % del traffico email era spam e il 77,7 % in Brasile.
Phishing
• L’Inghilterra è diventata il Paese più colpito da phishing ad ottobre, con una mail su 178,3 identificata come attacco di phishing.
• Il secondo paese più colpito è il Sud Africa, con 1 su 203,8 email identificate come attacco di phishing.
• I livelli di phishing in US ammontano a 1 mail su 646 e 1 su 272,8 in Canada.
• In Germania i livelli di phishing si sono attestati a 1 su 897.4; 1 su 631.8 in Danimarca e 1 su 518.3 nei Paesi Bassi.
• In Australia le attività di phishing si sono attestate a 1 mail su 267 e 1 su 359,5 ad Hong Kong; per il Giappone 1 mail su 3385e 1 su 500,1 per Singapore.
• In Brasile 1 email su 547,3 è stata bloccata come attacco di phishing.
Minacce contenute nelle email
• L’Inghilterra è salita in cima alle classifiche per il volume più alto di email malevoli in ottobre, con una mail su 146,4 identificata come malevola.
• Hong Kong è seconda in classifica con una mail su 180,3 identificata come malevola.
• Nel mese precedente il primo posto spettava al Sud Africa che è sceso in undicesima posizione ad ottobre con una mail su 326 bloccata come malevola.
• In US i livelli di virus provenienti da malware contenuti nelle mail ammontano a 1 su 330,2 e 1 su 211,7 in Canada.
• In Germania le attività dei virus hanno raggiunto quota 1 su 330,9; 1 su 457,1 in Danimarca e in Olanda 1 su 319,4.
• In Australia 1 mail su 193,4 era malevola; per il Giappone 1 su 1048, mentre a Singapore 1 su 272,4.
• In Brasile 1 su 421,7 mail conteneva materiale malevolo.
Trend per settori verticali:
• Nonostante un leggero calo nei livelli di spam, il settore Istruzione ha superato il settore Automotive a ottobre diventando il settore maggiormente colpito da spam, con una percentuale pari a 76,4%. La percentuale di spam per le piccole imprese è stata pari a 73,9% rispetto a 74,1% delle grandi imprese.
• Il settore Pubblico rimane il più colpito da attività di phishing nel mese di ottobre, con 1 email su 86 compromessa da un attacco di phishing.
• Il livello di phishing per il settore Chimico e Farmaceutico è stato di 1 su 543,3 e di 1 su 500,5 per il settore Servizi IT; 1 su 562,7 per il retail, 1 su 150,9 per il settore Istruzione e 1 su 304,4 per quello Finanziario. Gli attacchi di phishing per le piccole imprese sono stati pari a 1 email su 303,5 rispetto a una su 319,6 delle grandi imprese.
• Il settore Pubblico resta quello più attaccato da malware con 1 su 62 email malevole bloccate.
• Il livello di virus per il settore Chimico e Farmaceutico è stato di 1 su 180,9 e 1 su 257,3 per i servizi IT; 1 su 355,4 per il Retail, 1 su 99,3 per l’Istruzione e 1 su 332,9 per il settore Finanziario.
• Gli attacchi di malevoli via email per le piccole imprese sono stati pari a 1 mail su 260,2 rispetto a una su 214,5 delle grandi imprese.