Lo spam nel primo trimestre del 2013

Transcript

1 Lo spam nel primo trimestre del 2013 Dar'ja Gudkova Sommario Il trimestre in cifre... 1 Le peculiarità del trimestre... 1 Hot news e link nocivi... 2 Lo spam «nigeriano» e gli eventi in Venezuela... 4 Social network ed e mail contraffatte... 5 Metodi e trucchi adottati dagli spammer... 7 Utilizzo di servizi web legittimi... 7 Il ritorno del «testo in bianco»... 8 Le statistiche del primo trimestre del Quote di spam rilevate all interno del traffico di posta elettronica... 9 Geografia delle fonti di spam Ripartizione delle fonti di spam per regioni geografiche Dimensioni dei messaggi di spam Allegati nocivi rilevati nel traffico di posta elettronica Phishing Conclusioni Il trimestre in cifre Nel primo trimestre del 2013 la quota relativa allo spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 66,5% del volume complessivo di messaggi e mail circolanti in Rete. Il valore di tale indice è quindi aumentato dello 0,5% rispetto all'analoga quota percentuale rilevata nel quarto trimestre del La quota relativa ai messaggi di phishing individuati nel flusso globale delle e mail è diminuita di 4,25 volte, facendo in tal modo segnare un indice pari allo 0,004% del volume complessivo di messaggi di posta elettronica diffusi in Rete. Sono stati individuati allegati nocivi nel 3,3% dei messaggi e mail; tale indice è quindi lievemente aumentato (+ 0,1%) rispetto all'analogo valore riscontrato nel trimestre precedente. Le peculiarità del trimestre Il primo trimestre dell anno in corso è stato contrassegnato da eventi che hanno indubbiamente suscitato un grande clamore sulla scena internazionale: la morte di Hugo Chavez, presidente del Venezuela, le inattese dimissioni di Papa Benedetto XVI, la successiva rapida ascesa al soglio pontificio di

2 Papa Francesco. Tali avvenimenti, di portata storica, non sono certo passati inosservati agli occhi degli spammer. Il naturale interesse dell opinione pubblica mondiale nei confronti di eventi di importanza planetaria è stato in primo luogo sfruttato da coloro che si dilettano a inondare le caselle di posta elettronica degli utenti della Rete di e mail fraudolente e messaggi contenenti pericolosi link nocivi. Al tempo stesso, nel periodo analizzato nel presente report, i malintenzionati non si sono ovviamente dimenticati di fare ampio ricorso agli ulteriori metodi di ingegneria sociale abitualmente messi in atto per cercare di ingannare o raggirare gli utenti presi di mira. Hot news e link malevoli Dopo la morte del leader venezuelano, hanno fatto la loro apparizione all interno dei flussi di spam globali numerosi messaggi e mail con titoli dal tono provocatorio, quali "CIA "DELETED" Venezuela's Hugo Chavez?". Gli autori del messaggio qui sotto riportato, ad esempio, alludono ad un coinvolgimento del governo statunitense e della CIA nella morte di Hugo Chavez, ed invitano il destinatario dell e mail a cliccare su un apposito link inserito nel messaggio per poter visualizzare un video a tema. Cliccando sul suddetto link, l ignaro utente sarebbe incautamente giunto su un sito legittimo compromesso, da dove sarebbe stato poi rediretto verso un sito web nocivo, contenente del codice JavaScript offuscato. A questo punto, se il sistema operativo in uso presso la potenziale vittima avesse presentato determinati parametri, mediante l utilizzo di un apposito exploit (rilevato proattivamente dalla protezione antivirus di Kaspersky Lab come HEUR:Exploit.Java.CVE gen) sul computer dell utente preso di mira sarebbe stato installato un insidioso programma malware. Nel corso del trimestre non è stata soltanto la prematura scomparsa di Hugo Chavez a catturare l attenzione degli spammer. Nell ambito di un altra campagna di spam, recante ai destinatari dei messaggi e mail testi dal tono provocatorio e i consueti link nocivi, per cercare di attirare al massimo l attenzione degli utenti i malintenzionati hanno fatto esplicito riferimento al nome del nuovo Papa. Nella circostanza, attraverso tale mailing di massa, si recapitavano nelle e mail box degli utenti messaggi più o meno abilmente contraffatti, mascherati sotto forma di e mail inviate dalle note emittenti BBC e CNN; ai destinatari delle e mail fasulle veniva proposto l accesso a notizie riguardanti il nuovo Papa. Il titolo dell e mail di spam qui sotto riprodotta, ad esempio, evoca una discussione riguardo all eventualità di perseguire legalmente il nuovo Pontefice per i presunti casi di abusi sessuali emersi in passato.

3 Lo schema utilizzato dai malintenzionati per generare infezioni informatiche nei computer rimasti vittima della campagna di spam nocivo qui sopra descritta ricalca l analogo schema di cui si sono avvalsi i cybercriminali per la conduzione di un mailing di massa composto da messaggi recanti link dannosi relativi a notizie sulla morte di Hugo Chavez: una volta cliccato sui link in questione, gli utenti sarebbero stati reindirizzati verso un sito web violato; in seguito, sui computer di questi ultimi sarebbe stato scaricato un exploit (proveniente, nella maggior parte dei casi, dal kit di exploit denominato Blackhole), che avrebbe poi consentito di generare l infezione sui computer vittima, tramite il dispiegamento di un apposito programma malware. E interessante rilevare come, nonostante l apparente precisione ed accuratezza adottate nel mascherare i messaggi di spam sotto forma di notifiche relative a news di primaria importanza, i malintenzionati abbiano periodicamente commesso errori piuttosto grossolani a livello di intestazione delle e mail da essi spedite: ad esempio, gli spammer hanno talvolta mantenuto la menzione «BBC», all interno del campo «From», anche nei messaggi mascherati in guisa di comunicazioni provenienti dalla CNN. L utilizzo delle hot news e dei temi caldi del momento nella composizione delle e mail di spam, con l inserimento di link in apparenza preposti a condurre gli utenti verso la visualizzazione di foto e video dai contenuti sensazionali e provocatori, rappresenta indubbiamente uno dei metodi prediletti dagli spammer dediti alla distribuzione in Rete di ingenti quantità di software nocivi. Ricordiamo, a tal

4 proposito, come in passato, all interno dei flussi di spam, sia spesso capitato di imbattersi in mass mailing del medesimo tenore, in cui si proponeva, ad esempio, la visione di foto di Osama Bin Laden, oppure si cercava di attaccare il Presidente americano Barack Obama con la diffusione di materiali compromettenti, a detta ovviamente degli autori del mailing. L estrema varietà delle tematiche e dei metodi di ingegneria sociale cui fanno ricorso i malintenzionati nella conduzione delle campagne di spam riconducibili a tale specifica tipologia nasconde, di fatto, un unico e medesimo schema: il preciso intento dei cybercriminali è quello di far sì che, una volta cliccato sul link, si generi l upload di un pericoloso programma malware sul computer dell utente. Lo spam «nigeriano» e gli eventi in Venezuela I cosiddetti truffatori «nigeriani», che tradizionalmente hanno sempre sfruttato per i loro fini i fattori di instabilità politico sociale che si sono di volta in volta manifestati nei più disparati paesi del globo, non hanno ignorato gli avvenimenti che si sono prodotti in Venezuela all inizio del mese di marzo. In effetti, sono state da noi individuate numerose campagne di spam fraudolento, condotte in varie lingue, volte a sfruttare le tematiche connesse alla scomparsa del presidente venezuelano Hugo Chavez. Il tema del messaggio di spam riprodotto qui di seguito, ad esempio, rappresenta una sorta di vero e proprio classico per le frodi «nigeriane» perpetrate attraverso la Rete: l e mail, in apparenza, sembra essere stata inviata da un familiare (nel caso specifico la sorella) di un influente personaggio politico venezuelano, che si rivolge al destinatario dell e mail chiedendo assistenza per le operazioni di trasferimento all estero e successivo incasso di una stratosferica somma di denaro, prima che il nuovo governo del paese sudamericano possa eventualmente procedere alla confisca di tali ingenti beni. E mail «nigeriane» dai contenuti molto simili, ma con l utilizzo di nominativi diversi, sono state ad esempio rilevate all interno dei flussi di spam dopo la morte del leader libico Muammar Gheddafi, oppure dopo il trasferimento in carcere del presidente egiziano Hosni Mubarak.

5 Segnaliamo, inoltre, come l autore di un ulteriore mailing di massa elaborato in lingua tedesca da noi intercettato nel mese di marzo sostenga addirittura di essere un amico fraterno del compianto Hugo Chavez, il quale gli avrebbe affidato la custodia di ben 23 milioni di dollari USA, in realtà destinati all amante segreta del presidente venezuelano; quest ultima, tuttavia, dopo la scomparsa di Chavez, non avrebbe avanzato nessuna rivendicazione sull ingente capitale in questione. L immaginario «amico» del presidente si dichiara inoltre pronto ad offrire al destinatario dell e mail una sostanziosa ricompensa, addirittura pari al 25% della somma totale a disposizione, in cambio dell eventuale aiuto prestato per poter trasferire all estero, e successivamente incassare, la cifra milionaria in causa. Lo schema d azione fraudolento che i truffatori «nigeriani» si prefiggono di applicare a scapito delle potenziali vittime del raggiro, più o meno abilmente architettato, è ormai ben noto. Il loro scopo principale è quello di cercare di coinvolgere l utente vittima in uno scambio di corrispondenza sempre più fitto, che, secondo le losche mire dei malintenzionati, porti poi questi ultimi a sottrarre al malcapitato significative somme di denaro. In effetti, se il destinatario dell e mail «nigeriana» risponde al messaggio iniziale, i truffatori, attraverso ulteriori comunicazioni, chiederanno poi di trasferire su un determinato conto bancario una somma del tutto trascurabile rispetto alla montagna di denaro promessa in cambio di aiuto. In genere, il pretesto per spillare dei soldi è quello di dover necessariamente provvedere in anticipo al pagamento di determinati servizi o prestazioni (consulenze da parte di qualche avvocato o giurista, applicazione di non ben precisate imposte sulle transazioni finanziarie da realizzare, etc.), indispensabili a detta dei truffatori perché la vittima predestinata possa in seguito entrare in possesso della somma milionaria promessa. Social network ed e mail contraffatte Nel corso del primo trimestre del 2013, gli spammer ed in particolar modo quelli che intendono diffondere infezioni informatiche sui computer degli utenti, recapitando nelle e mail box di questi ultimi programmi malware di ogni genere e tipo hanno continuato a far ampiamente ricorso all invio di e mail contraffatte, mascherate sotto forma di notifiche e comunicazioni ufficiali inviate da noti servizi web. Nel periodo analizzato nel presente report, agli abituali mailing di massa provenienti (in apparenza) dai social network che godono di maggior popolarità presso il pubblico della Rete Facebook e Twitter o

6 da altri celebri siti web, si è aggiunta una singolare campagna di spam in cui i malintenzionati hanno sfruttato la fama raggiunta da Foursquare, l affermato sito web di social networking per dispositivi mobili, basato sulla geolocalizzazione. Nella circostanza, come si può facilmente dedurre, vige sempre una sorta di regola semplice e non scritta: maggiore è il grado di popolarità raggiunto in Rete da un servizio online, tanto più elevata risulterà la probabilità che gli spammer possano procedere all invio di e mail fasulle a nome di tale servizio web. Nella maggior parte dei casi, attraverso simili campagne di spam, i malintenzionati recapitano nelle e mail box degli utenti vittima un cospicuo numero di link dannosi destinati a condurre verso pericolosi kit di exploit in grado di sfruttare le eventuali vulnerabilità individuate nel sistema operativo o nelle applicazioni presenti nei computer degli utenti. Attraverso tali vulnerabilità, purtroppo, viene poi resa possibile l installazione dei più disparati programmi nocivi sui computer sottoposti a contagio informatico. Al momento attuale, presso gli ambienti cybercriminali, risulta essere particolarmente in auge il kit di exploit denominato Blackhole. Costituisce indubbiamente motivo di particolare interesse osservare come, nell inviare messaggi di spam mascherati sotto forma di notifiche provenienti da un determinato servizio online, gli spammer sembrino spesso non curarsi troppo del fatto che il titolo del messaggio inviato o il contenuto del campo «From» debbano corrispondere esattamente all effettivo contenuto del testo presente nell e mail. Come abbiamo visto in precedenza, lo stesso genere di errore è stato ugualmente commesso da quei malintenzionati che, nel corso del primo trimestre del 2013, hanno inondato le caselle di posta elettronica degli utenti della Rete di e mail contraffatte inviate a nome di CNN e BBC, i due giganti mondiali dei mass media. Tale specifica coincidenza può indurre a pensare che, in realtà, la conduzione di tutte le campagne di spam riconducibili alla tipologia sopra descritta sia imputabile ad un unico gruppo di cybercriminali.

7 Metodi e trucchi adottati dagli spammer Non è certo un segreto il fatto che, in questi ultimi tempi, gli spammer mostrino evidenti difficoltà nell escogitare sempre qualcosa di nuovo: tutti i trucchi, tutti i possibili stratagemmi ed espedienti sono stati ormai già messi in pratica, prima o dopo, in un modo o nell altro. Come conseguenza, gli spammer sembrano adesso orientarsi piuttosto verso l utilizzo di specifiche combinazioni di metodi e tecniche diversi tra loro, magari già abbastanza noti in passato, ma che con il trascorrere del tempo sembravano aver ormai perso la popolarità precedentemente acquisita. Gli spammer hanno inoltre esplorato l opportunità di poter sfruttare per i loro non certo nobili fini alcuni servizi del tutto legittimi presenti sul web, nel tentativo di eludere l azione inibitoria svolta dai filtri antispam. Utilizzo di servizi web legittimi Nel primo trimestre del 2013, ci siamo ad esempio imbattuti in una campagna di spam, dedita alla reclamizzazione dei consueti farmaci maschili, per la cui conduzione erano stati applicati i seguenti trucchi del mestiere : 1. Il titolo dell e mail in questione, «Instagram Account Delete», rappresenta innanzitutto un tipico esempio di ingegneria sociale. Per cercare di attirare l attenzione del destinatario del messaggio, è stato utilizzato il tema della rimozione dell account relativo ad un popolare servizio web. Ovviamente, se l utente che ha ricevuto l e mail possiede davvero un account Instagram, probabilmente procederà all apertura del messaggio, anziché effettuarne subito la cancellazione. 2. Il reale indirizzo web verso il quale conduce il link dannoso inserito nel messaggio, è stato abilmente mascherato grazie al contemporaneo utilizzo di due diversi metodi del tutto legittimi. In effetti, in primo luogo, gli spammer si sono avvalsi del servizio di short link (abbreviazione degli URL) messo a disposizione da Yahoo, ed hanno poi rielaborato il link breve così ottenuto utilizzando il noto traduttore online Google Translate. Tale servizio, come si sa, è in grado di eseguire la traduzione di una pagina web in base all indirizzo Internet digitato dall utente nell apposito spazio e, al contempo, è in grado di generare un proprio link inerente al risultato della traduzione. La combinazione dei due metodi sopra

8 illustrati ha reso di fatto unico ogni collegamento ipertestuale introdotto dagli spammer nell ambito del mailing di massa da essi condotto; l utilizzo di due domini universalmente conosciuti, inoltre, ha contribuito considerevolmente a rendere il link specificato nel messaggio sufficientemente «autorevole» agli occhi del destinatario dell e mail di spam. E per confondere ancor di più le carte in tavola, gli spammer hanno aggiunto alla fine del link una query assolutamente priva di senso, composta da parole del tutto casuali: «?/constitutional contextualization». In genere, gli spammer ricorrono di frequente ai servizi di URL shortening. In primo luogo, adottando tale metodo, e quindi rendendo unico ed esclusivo il link presente in ogni messaggio inviato in Rete, essi cercano di eludere l azione di controllo esercitata dai filtri antispam. In secondo luogo, l utilizzo dei servizi di short link non comporta alcuna spesa aggiuntiva per i malintenzionati, come invece normalmente avviene quando i cybercriminali procedono all acquisto di domini Internet, oppure violano siti web legittimi. Dall altro lato, coloro che amministrano i maggiori servizi online preposti alla generazione di URL brevi cercano di monitorare assiduamente il contenuto dei siti web verso i quali vengono rediretti gli utenti e, al tempo stesso, di inibire l azione nociva svolta dai link malevoli. Il ritorno del «testo in bianco» E tornato a godere di una certa popolarità, presso le folte schiere degli spammer, un metodo alquanto semplice, utilizzato per camuffare, o meglio letteralmente imbrattare, il contenuto dei messaggi e mail spediti, conosciuto come il metodo del testo in bianco. Esso consiste, in pratica, nell aggiunta all interno del messaggio di posta di brani di testo del tutto casuali (nel trimestre qui analizzato, ad esempio, abbiamo rilevato l introduzione di frammenti di notizie nel corpo dell e mail), scritti con caratteri di colore grigio chiaro su uno sfondo generalmente grigio, e separati dal testo principale dell pubblicitaria da una notevole quantità di interruzioni di riga. L impiego del metodo qui sopra descritto intende innanzitutto far sì che i filtri antispam adibiti al controllo del contenuto dei messaggi scambino l e mail di spam così redatta per una normale newsletter; in secondo luogo, l utilizzo di frammenti casuali di testo riguardanti delle notizie, rende di fatto unico ed irripetibile ogni messaggio spedito nel quadro di una simile campagna di spam; tutto ciò, ovviamente, complica poi in maniera considerevole le operazioni di rilevamento dei contenuti indesiderati presenti nel traffico di posta elettronica.

9 Le statistiche del primo trimestre del 2013 Quote di spam rilevate all interno del traffico di posta elettronica Lungo tutto l arco del primo trimestre del 2013 si sono registrate significative oscillazioni riguardo alla quota di spam riscontrata settimanalmente all interno dei flussi di posta elettronica; ad ogni caso, tale importante indice, attestatosi su un valore medio pari al 66,55% del volume totale dei messaggi e mail circolanti in Rete, ha fatto complessivamente registrare un incremento dello 0,53% rispetto all'analoga quota percentuale rilevata nel trimestre precedente. Quote di spam rilevate settimanalmente nel traffico nel corso del primo trimestre del 2013 Uno dei più estesi mailing di massa condotti dagli spammer nel corso del trimestre oggetto del presente report ha visto la distribuzione in Rete di ingenti quantità di e mail fraudolente inoltrate verso le caselle di posta elettronica degli utenti in cui i malintenzionati hanno fatto ricorso al famigerato metodo truffaldino denominato «pump and dump» (l espressione significa, tradotta letteralmente dall inglese,"pompa e sgonfia ). Si tratta di una delle tipologie di frode più comunemente praticate a livello di mercato azionario; nella fattispecie, gli spammer provvedono ad acquistare azioni a bassa capitalizzazione, in genere riconducibili a società di piccole dimensioni, per poi gonfiare ad arte il prezzo di tali azioni tramite la diffusione, attraverso insistite campagne di spam, di false informazioni (dai toni estremamente positivi) sullo stato delle suddette aziende; lo scopo finale dei malintenzionati è, naturalmente, quello di riuscire a vendere a prezzi nettamente superiori i titoli azionari

10 precedentemente acquistati a prezzi irrisori. Proprio a causa della conduzione della massiccia campagna di spam sopra menzionata, la prima settimana del mese di marzo ha fatto registrare il valore percentuale record del trimestre a livello di presenza di messaggi di spam all interno dei flussi e mail globali (73,4%). Il picco assoluto di tale tipologia di spam, che potremmo convenzionalmente definire spam azionario, si è raggiunto nel biennio ; in seguito, per alcuni anni, l utilizzo di questa particolare formula fraudolenta è praticamente scomparso dalla scena dello spam mondiale, manifestandosi, di fatto, solo raramente all interno dei flussi e mail. E interessante osservare come, anche negli anni in cui i suddetti mailing di massa hanno goduto della massima popolarità presso le folte schiere degli spammer, simili campagne di spam si siano distinte proprio per la loro notevole estensione. La ragione delle ingenti proporzioni in genere raggiunte da questa particolare tipologia di mass mailing spazzatura risiede principalmente proprio nel fatto che i truffatori cercano di piazzare la loro frode, più o meno abilmente ordita, in tempi estremamente brevi, massimo nel giro di 1 o 2 giorni, finché il tentativo di truffa non viene poi smascherato. Nella circostanza, ovviamente, quanto più elevato è il numero di messaggi che i malintenzionati riescono a distribuire nelle e mail box degli utenti in un lasso di tempo particolarmente breve tanto maggiore potrà poi risultare il numero delle vittime potenziali della truffa messa in atto, ovvero degli utenti raggirati che andranno ad effettuare lo sciagurato acquisto di azioni proposte a prezzi gonfiati artificialmente. Geografia delle fonti di spam Nel primo trimestre del 2013, nelle posizioni di vertice della speciale graduatoria delle fonti dello spam mondiale, relativa ai paesi dal cui territorio sono state distribuite in Rete verso tutti e cinque i continenti le maggiori quantità di e mail spazzatura, si sono nuovamente insediati Cina (24,3%) e Stati Uniti (17,7%). Il terzo gradino del podio virtuale è andato ad appannaggio della Corea del Sud; il paese dell Estremo Oriente ha fatto peraltro complessivamente registrare una quota piuttosto elevata, pari a 9,6 punti percentuali. E di particolare interesse rilevare come i messaggi di posta elettronica spazzatura diffusi dal territorio dei tre paesi sopra menzionati siano stati inoltrati verso le e mail box degli utenti di regioni geografiche ben distinte tra loro: la maggior parte dello spam cinese è stato in effetti distribuito in Asia, mentre i messaggi e mail indesiderati provenienti dagli USA sono risultati indirizzati prevalentemente verso gli stati del Nordamerica (al punto che la maggior parte di essi possono essere di fatto considerati alla

11 stregua di spam interno ). Le e mail spazzatura diffuse in Rete dal territorio della Corea del Sud, invece, hanno avuto quale principale bersaglio gli utenti ubicati sul continente europeo. Ripartizione geografica delle fonti di spam rilevate nel primo trimestre del Suddivisione per paesi Il Brasile (2,2%), che nell analogo rating riepilogativo inerente all intero anno 2012 occupava la quinta posizione della graduatoria, è sceso alla nona posizione della classifica sopra riportata: la quota ascrivibile ai flussi di spam generati entro i confini di tale paese è in effetti diminuita di quasi la metà. Il motivo del repentino decremento fatto segnare dall indice percentuale attribuibile al colosso sudamericano è indubbiamente da ricollegare al fatto che, alla fine del 2012, il Brasile ha provveduto a chiudere a livello di stato nazionale la porta 25 TCP, ovvero la porta normalmente utilizzata, per impostazione predefinita, per il traffico SMTP in uscita. E proprio attraverso tale porta che è destinata a transitare, ovviamente, la maggior parte dei flussi di spam generati attraverso i computer infetti degli utenti della Rete. La chiusura della porta 25, come è noto, rappresenta una procedura standard per tutti gli Internet provider; nel caso sopra descritto, tuttavia, il problema è stato risolto ad un livello che potremmo definire superiore. Sottolineiamo, infine, come siano entrate a far parte della TOP 5 del rating in questione sia l India (4,4%) terza nell analoga graduatoria relativa all intero anno 2012 sia Taiwan (4,1%); il paese dell Estremo Oriente insulare ha visto la propria quota percentuale più che raddoppiata rispetto allo scorso anno, ed è in tal modo passato dalla decima alla quinta posizione della classifica analizzata nel presente capitolo. L indice relativo alla Russia (3,2%) ha poi evidenziato un aumento di 1,2 punti percentuali; ne è conseguito che la Federazione Russa ha guadagnato una posizione in classifica rispetto al rating riepilogativo dello scorso anno, andando di fatto ad occupare la settima piazza della graduatoria del primo trimestre 2013 relativa alla geografia delle fonti dello spam mondiale. Ripartizione delle fonti di spam per regioni geografiche Così come in precedenza, la classifica relativa alla ripartizione delle fonti di spam per macro regioni geografiche mondiali risulta dominata dall Asia, con una quota pari al 51,8% del volume complessivo dei

12 messaggi e mail indesiderati distribuiti in Rete dagli spammer; nel primo trimestre del 2013, l indice complessivamente attribuibile al continente asiatico ha fatto registrare un incremento di 1,6 punti percentuali rispetto all analogo valore globalmente riscontrato nel Il secondo gradino del podio virtuale della speciale graduatoria regionale da noi stilata risulta occupato dall America Settentrionale; il continente nordamericano ha fatto segnare un indice complessivo pari al 18,3%. Ripartizione geografica delle fonti di spam rilevate nel primo trimestre del Suddivisione per macro-regioni mondiali Si è inoltre notevolmente accresciuta la quota riconducibile all Europa Orientale (11,1%). In effetti, sebbene tra le prime dieci posizioni della graduatoria relativa ai paesi dal cui territorio vengono inoltrate in Rete le maggiori quantità di spam si trovi, di fatto, un solo paese situato nella parte orientale del continente europeo, ovvero la Russia, la seconda parte della TOP 20 in questione vede invece spiccare la presenza di ben cinque nazioni geograficamente collocate nell Europa Orientale. Registriamo, infine, una sensibile diminuzione del contributo apportato ai flussi mondiali dello spam dall America Latina; ciò trova una logica spiegazione nel fatto che, nel trimestre oggetto del presente report, le quote attribuibili a Brasile, Perù e Argentina sono considerevolmente diminuite rispetto al trimestre precedente, al punto che gli ultimi due paesi citati non sono nemmeno entrati a far parte della TOP 20 sopra riportata.

13 Dimensioni dei messaggi di spam Dimensioni delle di spam - Quadro relativo al primo trimestre del 2013 Anche nel primo trimestre del 2013, come di consueto, all interno dei flussi di spam sono stati rilevati, nella stragrande maggioranza dei casi, messaggi e mail indesiderati aventi dimensioni estremamente contenute (1 Кb o addirittura meno di un kilobyte). L utilizzo di messaggi compatti permette agli spammer di inviare un elevato numero di e mail spazzatura, pur limitando, al contempo, l entità del traffico generato. Inoltre, l impiego di frasi e testi decisamente brevi, magari radicalmente diversi da un messaggio all altro, consente di conferire un aspetto di unicità alle e mail distribuite nelle caselle di posta elettronica degli utenti della Rete e di complicare, quindi, il lavoro abitualmente eseguito dai filtri anti spam. Allegati maligni rilevati nel traffico di posta elettronica Nel primo trimestre del 2013, la quota relativa ai messaggi e mail contenenti allegati dannosi ha fatto registrare un incremento dello 0,1% rispetto all analogo indice rilevato nel trimestre precedente, e si è in tal modo attestata su un valore pari al 3,3% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

14 TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica - Situazione relativa al primo trimestre del 2013 La TOP 10 del primo trimestre dell anno relativa ai software nocivi maggiormente diffusi nei flussi di posta elettronica globali risulta capeggiata, così come in precedenza, dal malware classificato con la denominazione di Trojan Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, principalmente, agli account di Internet banking aperti in Rete dagli utenti. I cybercriminali di turno utilizzano poi i dati di registrazione illegalmente carpiti, inseriti dall'utente nei suddetti «form» fasulli, per impadronirsi delle somme di denaro depositate nei conti bancari violati. L'utilizzo di tale software nocivo allo scopo di realizzare il furto di informazioni sensibili di natura finanziaria custodite nei computer degli utenti costituisce, di fatto, uno dei principali metodi di attacco attualmente presenti nel sempre nutrito arsenale dei phisher. La seconda piazza della speciale graduatoria analizzata nel presente capitolo del nostro consueto report trimestrale sul fenomeno spam è invece andata ad appannaggio del programma malevolo classificato come Worm.Win32.Bagle.gt. Come è noto, il payload nocivo dei worm di posta elettronica consiste principalmente nel raccogliere gli indirizzi e mail presenti nei computer vittima contagiati, e più precisamente negli elenchi dei contatti, per poi realizzare un processo di auto diffusione in Rete tramite gli account di posta elettronica illecitamente carpiti. I worm riconducibili alla famiglia Bagle, tuttavia, in aggiunta alle funzionalità standard qui sopra illustrate, risultano provvisti di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire da remoto con il centro di controllo allestito dai cybercriminali, e di ricevere quindi da quest ultimo appositi comandi volti a generare il download e la successiva installazione di altri software maligni sui computer vittima infettati.

15 La terza posizione del rating da noi stilato relativamente al primo trimestre del 2013 è andata ad appannaggio del malware denominato Trojan Banker.HTML.Agent.p. Al pari di Fraud.gen, anch esso si presenta sotto forma di una pagina HTML in grado di copiare più o meno perfettamente i form di cui si avvalgono gli utenti per registrarsi a determinati servizi di banking online o ad altri servizi erogati nel Web. Continuando nell analisi della graduatoria qui sopra riportata, notiamo come nelle rimanenti posizioni della TOP 10 in questione si siano insediati, oltre ai soliti e mail worm veri e propri habitué del rating relativo ai software nocivi che si incontrano più di frequente nei flussi di posta elettronica anche il malware Trojan.Win32.Bublik.aknd e alcuni programmi backdoor riconducibili alla famiglia Androm. Bublik provvede ad effettuare la raccolta di dati sensibili di varia natura all interno del computer vittima: password utilizzate per le connessioni FTP, dati necessari per ottenere l autorizzazione ad usufruire di servizi di posta elettronica, certificati di vario genere. Inoltre, il trojan in questione è in grado di passare in rassegna ed esaminare i form visualizzati dall utente all interno dei browser Mozilla Firefox e Google Chrome, alla ricerca delle login e password memorizzate. I dati illecitamente sottratti vengono poi trasmessi ai malintenzionati. Come è noto, i programmi backdoor consentono ai malintenzionati di assumere il pieno controllo del computer sottoposto a contagio informatico, a totale insaputa dell utente vittima. In tal modo i cybercriminali possono, ad esempio, effettuare il download ed avviare l esecuzione di ulteriori file nocivi sul computer infetto, procedere all invio di dati ed informazioni di qualsiasi genere utilizzando la macchina compromessa dal malware, nonché eseguire numerose altre attività nocive. Inoltre, i computer infettati da programmi malevoli di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti zombie di volta in volta allestite dai malintenzionati. E interessante osservare come, nella maggior parte dei casi, i backdoor riconducibili alla famiglia Androm siano stati diffusi tramite messaggi e mail contraffatti, apparentemente inviati da note società ed organizzazioni, quali Booking.com, DHL, British Airways ed altre ancora. Evidenziamo come, con modalità similari, vengano abitualmente distribuiti in Rete anche i programmi trojan appartenenti alla famigerata famiglia ZeuS/Zbot.

16 Ripartizione per paesi dei rilevamenti eseguiti dall antivirus nel corso del primo trimestre del 2013 Così come in precedenza, la leadership della speciale graduatoria dedicata alla ripartizione geografica (per paesi) dei rilevamenti effettuati dal nostro antivirus e mail è andata ad appannaggio degli Stati Uniti d America (13,2%). La Germania, da parte sua, con una quota pari all 11,2% si è insediata in seconda posizione. Complessivamente, quindi, quasi un quarto dei messaggi di spam maligno distribuiti attraverso i flussi e mail nel corso del primo trimestre dell anno corrente, è stato indirizzato verso le caselle di posta elettronica degli utenti della Rete ubicati entro i confini del territorio statunitense e tedesco. L Italia (8,7%), paese che non sempre risulta presente nella TOP 10 della classifica in questione, si è inaspettatamente issata sul terzo gradino del podio virtuale; il motivo di tale repentina ascesa all interno del rating qui analizzato è principalmente da imputare al fatto che, nello scorso mese di febbraio, l Italia è stata oggetto di un estesa ed insistita campagna di spam malevolo, volta a distribuire nelle e mail box degli utenti il malware classificato come Trojan Banker.HTML.Agent.p. In febbraio, in effetti, l Italia è addirittura salita alla prima posizione della TOP 10 mensile relativa ai paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e mail. Per il resto, il rating trimestrale dei paesi verso i quali sono state indirizzate le maggiori quantità di messaggi di spam contenenti allegati malevoli non presenta variazioni di rilievo rispetto all analoga graduatoria precedente. Phishing Nel primo trimestre del 2013, la quota relativa ai messaggi di phishing individuati nel flusso globale delle e mail è diminuita di 4,25 volte, facendo in tal modo segnare un indice pari allo 0,004% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

17 TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel corso del primo trimestre del Suddivisione per categorie dei rilevamenti eseguiti dal modulo «Anti-phishing» * La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Antiphishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web. Rileviamo, innanzitutto, come nel corso del trimestre oggetto del presente report si siano nuovamente intensificati gli attacchi di phishing indirizzati nei confronti della categoria che raggruppa i social network (37,6%); in effetti, i malintenzionati hanno attivamente distribuito in Rete un elevato numero di messaggi di spam camuffati sotto forma di comunicazioni e notifiche ufficiali provenienti (in apparenza!) da Facebook e LinkedIn. Il secondo gradino del podio risulta poi occupato dalla categoria Motori di ricerca (16,2%). Un posizionamento in classifica così elevato da parte dei search engine trova una logica spiegazione nel fatto che le grandi compagnie proprietarie dei motori di ricerca propongono ugualmente, ai propri utenti, numerosi altri servizi online, quali, ad esempio, la messa a disposizione di spazio su disco virtuale, posta elettronica, social network e molto altro ancora. Spesso, per l utente, la chiave per accedere all insieme dei servizi disponibili è rappresentata da un unico account; è proprio per tale specifico motivo che i motori di ricerca rappresentano, indiscutibilmente, uno dei bersagli prediletti dai cybercriminali.

18 La terza posizione della speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher è andata ad appannaggio della categoria Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari (14,2%). A tal proposito, è di particolare importanza osservare come, a differenza di quanto normalmente avviene con i social network categoria che vede la maggior parte degli assalti di phishing concentrarsi principalmente su una o due organizzazioni la distribuzione degli attacchi orditi dai phisher nei confronti degli istituti bancari risulti molto più varia ed uniforme. Di fatto, i malintenzionati sono soliti condurre i loro attacchi nei confronti di un elevato numero di banche, diverse tra loro; gli istituti bancari via via presi di mira possono quindi essere sia piccoli istituti operanti a livello locale, sia istituti di grandi dimensioni e di primaria importanza a livello internazionale. Ripartizione per paesi degli hosting che celano siti di phishing - Situazione relativa al primo trimestre del 2013 La leadership della speciale graduatoria relativa ai paesi nei quali, nel corso del primo trimestre del 2013, è risultato collocato il maggior numero di siti di phishing è andata ad appannaggio degli Stati Uniti (25,4%); la Gran Bretagna (8,2%) e la Germania (7,7%) si sono rispettivamente insediate al secondo e al terzo posto del rating in questione. Completano la TOP 5 la Federazione Russa (6%) e l India (5,2%). E inoltre di particolare interesse osservare come siano entrati a far parte della TOP 10 relativa ai paesi che ospitano il più elevato numero di siti di phishing anche il Canada (4,5%) e l Australia (3,9%), due paesi ritenuti piuttosto sicuri dal punto di vista della cybercriminalità; per contro, le quote relative alle quantità di messaggi di spam inviate dal territorio canadese ed australiano risultano minime (percentuali inferiori all 1%). Conclusioni Lungo tutto l arco del 2012, le quote di spam rilevate nel traffico di posta elettronica sono risultate in costante diminuzione. Nel primo trimestre del 2013, il valore medio relativo alla quota di messaggi e mail indesiderati presenti nei flussi di posta elettronica nonostante le evidenti oscillazioni su base

19 mensile degli indici percentuali via via rilevati è rimasto in sostanza invariato rispetto all analogo valore riscontrato nel trimestre precedente. Da parte nostra, riteniamo che nell immediato futuro la quota di spam presente all interno del traffico e mail possa rimanere sui livelli attuali, o far registrare persino un lieve incremento; tale considerazione deriva dal fatto che, in questi ultimi tempi, gli spammer hanno intensificato la conduzione di mailing di massa di ingenti proporzioni, volti a distribuire svariati milioni di messaggi spazzatura nelle caselle di posta elettronica degli utenti. Coloro che si dilettano a distribuire in Rete montagne di e mail di spam cercano con ogni mezzo di attirare l attenzione degli utenti sui messaggi da essi elaborati: di fatto, gli spammer ricorrono spesso all utilizzo di nomi altisonanti, sfruttano il naturale clamore suscitato dai principali avvenimenti internazionali oppure, semplicemente, mascherano le loro e mail sotto forma di comunicazioni o notifiche ufficiali provenienti (in apparenza!) da note risorse web. Molti di questi messaggi contengono link dannosi, appositamente inseriti nel corpo dell e mail per cercare di condurre l ignaro utente vittima verso il download di pericolosi programmi malware, tra cui i famigerati exploit. Nella circostanza, ci pare doveroso ricordare, a tutti i nostri lettori, che è sempre buona norma evitare di cliccare sui link presenti nelle e mail ricevute, anche se il mittente sembra essere una persona familiare o conosciuta. Indubbiamente, è molto più sicuro inserire manualmente nel browser di navigazione l indirizzo del sito web al quale si desidera accedere. Riteniamo poco probabile che, nel corso dei prossimi mesi, i paesi che attualmente capeggiano la graduatoria relativa alla geografia delle fonti di spam, ovvero Cina e Stati Uniti, possano abbandonare le posizioni occupate in classifica, a meno che le forze di cyberpolizia e gli organi competenti non riescano a smantellare al più presto i centri di comando delle botnet dislocate sul territorio dei due suddetti paesi. Nel primo trimestre del 2013, sul terzo gradino del podio virtuale del rating relativo alle fonti dello spam mondiale è salita la Corea del Sud; i flussi di spam provenienti dal paese dell Estremo Oriente risultano principalmente indirizzati verso le e mail box degli utenti della Rete ubicati sul territorio dei paesi europei. Per ciò che riguarda gli allegati maligni rilevati nel traffico di posta elettronica, desideriamo sottolineare come, nella maggior parte dei casi, siano stati individuati e neutralizzati dalle nostre soluzioni antimalware quei programmi nocivi abitualmente utilizzati dai malfattori per compiere il furto di login e password relativi agli account aperti in Rete dagli utenti. All interno dei flussi e mail sono risultati particolarmente diffusi i programmi trojan appositamente elaborati dai virus writer per carpire le informazioni sensibili necessarie per eseguire le transazioni finanziarie nell ambito dei servizi di Internet banking. Terminiamo il nostro consueto resoconto trimestrale sul fenomeno spam osservando come in numerosi mailing di massa i malintenzionati abbiano fatto largo uso di link preposti a dirigere gli utentivittima verso i cosiddetti kit di exploit; per tutto il primo trimestre del 2013, il kit che ha riscosso i più ampi favori negli ambienti cybercriminali è risultato essere il famigerato Blackhole.