cliccando qui - Data Manager Online

Lo spam nel mese di maggio 2013 Tat’jana Šerbakova Marija Vergelis Dar'ja Gudkova Sommario Maggio in cifre ............................................................................................................................................... 1 Le peculiarità del mese ................................................................................................................................. 1 Microsoft presa di mira dagli spammer .................................................................................................... 2 Lo spam e le festività di maggio ................................................................................................................ 3 Ripartizione geografica delle fonti di spam ................................................................................................... 5 Allegati nocivi rilevati nel traffico di posta elettronica ................................................................................. 7 Peculiarità e tratti caratteristici dello spam nocivo di maggio ................................................................ 10 Phishing ....................................................................................................................................................... 13 Conclusioni .................................................................................................................................................. 15 Maggio in cifre •
Nel mese di maggio 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un decremento del 2,5%, attestandosi in tal modo su un valore medio pari al 69,7%. •
La quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e‐mail è leggermente aumentata rispetto all'analogo valore rilevato nel precedente mese di aprile, ed ha fatto pertanto segnare un indice pari allo 0,0024% del volume complessivo di messaggi di posta elettronica circolanti in Rete. •
Nel mese di maggio sono stati individuati allegati nocivi nel 2,8% dei messaggi e‐mail; il valore di tale indice è pertanto aumentato dello 0,4% rispetto all'analoga quota percentuale rilevata nel mese precedente. Le peculiarità del mese I flussi di spam del mese di maggio 2013 si sono in primo luogo caratterizzati per una pronunciata dose di "creatività" da parte degli spammer nell'allestimento dei messaggi di posta elettronica distribuiti nelle e‐mail box degli utenti della Rete. Lungo tutto l'arco del mese gli spammer hanno attivamente utilizzato un'ampia varietà di nominativi di personaggi famosi e note aziende, sia per la conduzione di campagne di spam di natura fraudolenta, sia per reclamizzare, come al solito, prodotti e servizi di ogni genere. Al contempo, si è registrata una sensibile diminuzione del numero dei messaggi di spam volti a sfruttare le tradizzionali temattiche legate alle festività stagionali. TTuttavia, cosìì come in preecedenza, so
ono state da noi in
ndividuate caampagne di sspam "dedicate" alle più significativee festività del periodo, ne
ella circostan
nza la Fessta della Mam
mma e ‐ neggli USA ‐ il Meemorial Day (il giorno in cui negli Statti Uniti viene
e reso omagggio ai soldati americaani caduti, di tutte le gueerre). Micrrosoft pre
esa di mirra dagli sp
pammer Nel m
mese oggetto
o del presentte report gli spammer haanno organizzzato un'esteesa campagna di phishingg volta a diffonderee in Rete ingenti quantitàà di messagggi e‐mail cam
muffati sotto forma di nottifiche pparenza) daal servizio di supporto clie
enti della compagnia Miccrosoft. Attraverso tali proveenienti (in ap
messsaggi, a primaa vista speditti tramite ind
dirizzi di posta del tutto llegittimi, reggistrati nell'ambito del dominio <microso
oft.com>, si comunicava l'imminente
e sospensione dell'account utente di «Microsoft dow», in relazione al man
ncato aggiorn
namento dello stesso, già sollecitato ‐ a detta dei Wind
malin
ntenzionati ‐ in vari messsaggi e‐mail iinviati in precedenza. Per scongiuraree il blocco de
ell'account in
n questtione, il desttinatario avreebbe dovuto
o immediatam
mente seguirre le istruzioni riportate nell'e‐mail truffaaldina, e quin
ndi cliccare ssull'apposito link indicato
o nell'e‐mail ricevuta. Di fatto, seguendo il colleggamento ipeertestuale preesente nel m
messaggio fassullo, l'utentte si sarebbe ritrovato su una pagina web d
di phishing aallestita dai m
malfattori, crreata ad hoc per carpire illecitamentee i dati perso
onali dell'u
utente‐vittim
ma. Se an
ndiamo ad essaminare con
n attenzione l'e‐mail in causa, si noteerà, innanzitu
utto, che la d
denominazio
one del sistema operaativo citato n
nel messaggio ‐ "Microso
oft Window" ‐ risulta erro
onea, in quan
nto manca, in mail, in qualittà di separatore orizzontale è stato im
mpropriamente essa, la lettera «ss» finale. Inoltre, nell'e‐m
utilizzzato il caratttere «=», mentre risulta d
del tutto assente qualsiasi link in grad
do di poter ccondurre l'uten
nte sul sito ufficiale di Microsoft. Allo
o stesso mod
do, manca qu
ualsiasi informazione di ccontatto relatiiva al servizio
o supporto cclienti, elemeento, questo, sempre preesente nelle e‐mail ufficiaali. All'intterno del traaffico di spam
m del mese d
di maggio 2013 abbiamo ugualmentee rilevato la p
presenza di false notifiche rellative a vincite realizzatee grazie ad (in
nesistenti) lo
otterie organ
nizzate da Miicrosoft. Nellla pre essere, gu
uarda a caso
o, proprio il circosstanza, il forttunato vincittore dell’ambito premio risulta semp
destinatario del m
messaggio di spam fraudolento. In alccuni di tali messaggi di sp
pam i truffato
ori comunicaano innanzitu
utto al fortun
nato utente la vincita del prem
mio, ed invitano poi il desttinatario dell'e‐mail a me
ettersi in con
ntatto al più presto con ggli organizzattori della lotteria, allo
o scopo di riccevere inform
mazioni anco
or più dettagliate in meritto. In altri messaggi del genere i malinten
nzionati prom
mettono unaa somma di d
denaro al vincitore della llotteria, richiedendo tuttavvia in anticip
po il trasferim
mento, da paarte di quest'ultimo, di un
n importo deel tutto trasccurabile (se paraggonato al denaro promessso...) allo sccopo di coprire non ben p
precisate speese supplementari per il regolare compimento di tuttee le formalitàà necessarie per ritirare ll'importo "vinto". Lo s
spam e le festività d
di maggio
o Nel corso del messe analizzato
o nel presentte report, gli spammer haanno continu
uato imperte
erriti a sfrutttare le varrie tematichee connesse aalla Festa dellla Mamma ‐‐ ricorrenza ttradizionalmente celebraata, negli Stati Uniti,, nella seconda domenicaa di maggio ‐‐ con l'intentto di reclamizzare in partticolar modo
o prodotti floreaali, prodotti dolciari ed articoli di lussso contraffattti. Dopo la FFesta di San V
Valentino, la Festa della Mam
mma rappreseenta indubbiiamente la riicorrenza più
ù popolare e sentita in am
mbito familiaare: alla vigilia di quest'ultima, o
ormai per traadizione, aum
menta semprre in manieraa esponenziaale il numero
o delle pagne di spam
m condotte nell'ambito d
delle cosidde
ette partnersship "florealii", quei programmi di camp
parteenariato dediti alla venditta online di aarticoli e com
mposizioni flo
oreali, sopraattutto alla viigilia di festivvità particolaarmente sign
nificative. La maggior parte dei mailin
ng di massa d
di tal genere viene organ
nizzata ed elaaborata sullaa base di detterminati mo
odelli di messsaggio e‐maiil ampiamente collaudati, che si ripetono co
ostantementte nel tempo
o; in pratica, ogni volta, ggli spammer n
non fanno alltro che ficare l'imma
agine del pro
odotto florea
ale proposto
o, così come il nome della
a festività di modi
turno alla da essi allestita. qualee è "dedicataa" la campagna di spam d
Negli Stati Uniti, ll'ultimo luneedì di maggio
o si celebra il Memorial D
Day, festa nazzionale dediccata alla dati american
ni caduti in tu
utte le guerrre. Quest'ann
no gli spamm
mer, in occasione di tale memoria dei sold
importante festivvità, hanno in
noltrato nellee e‐mail box degli utenti americani m
messaggi e‐m
mail indesiderrati blicizzanti ven
ndite di auto
oveicoli a preezzi d'occasio
one. Occorree nella circosttanza sottolineare il fatto
o pubb
che tali campagnee di spam, ap
pparentemeente innocue, possono esssere ugualm
mente condottte dai malin
ntenzionati d
della Rete peer raccoglieree illecitamente i dati perssonali degli u
utenti‐vittima, incluso i d
dati sensibili utilizzati da questi ulttimi per com
mpiere transaazioni finanziarie online. All'interno d
dei flussi di m di maggio 2
2013 abbiam
mo infine individuato la co
onduzione dii un mailing d
di massa attraverso il quale spam
gli spammer prop
ponevano ai destinatari d
dei messaggi indesiderati l'acquisto d
di consistentii quantità deei osi "Mi piace"" di Faceboo
ok; anche talii e‐mail sono
o risultate isp
pirate alla celebrazione d
del Memorial famo
Day sstatunitense.. Ripartizione geografica delle fonti di spam Le prime tre posizioni della speciale graduatoria “globale” delle fonti di spam ‐ relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e‐mail “spazzatura” ‐ sono rimaste invariate rispetto all’analogo rating del mese precedente. La leadership è andata nuovamente ad appannaggio della Cina (21,4%), anche se la quota relativa al “colosso” dell’Estremo Oriente ha fatto registrare un decremento di due punti percentuali e mezzo. Geografia delle fonti di spam rilevate nel mese di maggio 2013 ‐ Graduatoria su scala mondiale L’indice relativo ai messaggi e‐mail indesiderati provenienti dal territorio degli Stati Uniti d’America è lievemente diminuito rispetto ad aprile 2013, facendo così segnare un valore medio pari al 16,3%; gli USA hanno tuttavia mantenuto la seconda posizione della classifica. La terza posizione di maggio 2013 risulta occupata ‐ così come nel mese precedente ‐ dalla Corea del Sud (12%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese asiatico ha fatto registrare un ulteriore incremento (+ 0,6%) rispetto all’analogo indice riscontrato nello scorso mese di aprile. Complessivamente, nel mese oggetto del presente report, circa la metà del volume complessivo dei messaggi di posta elettronica “spazzatura” diffusi su scala mondiale è stato inoltrato verso le e‐mail box degli utenti dal territorio dei tre suddetti paesi. Hanno ugualmente conservato le rispettive posizioni all’interno della TOP‐5 sia Taiwan (5,9%) che il Vietnam (5%). Il sesto posto della graduatoria è poi andato ad appannaggio dell'Ukraina (4,8%). Il Kazakhstan (4,3%), collocatosi all’ 8° posto del rating di aprile 2013, nel mese qui analizzato ha fatto registrare un aumento della propria quota di quasi un punto percentuale, andando così ad occupare la settima piazza della classifica relativa alla geografia delle fonti dello spam mondiale. La Russia (2,2%), da parte sua, in maggio ha visto diminuire la propria quota dell' 1,1%, ed è in tal modo passata dalla settima alla decima posizione della speciale graduatoria da noi stilata. Osserviamo infine come l’indice percentuale attribuibile al Canada (1,8%) sia aumentato in maniera piuttosto sensibile rispetto al mese precedente (circa un punto percentuale in più); ciò ha determinato la "conquista" di ben nove posizioni in graduatoria da parte del paese nordamericano. Il Canada è quindi repentinamente passato dal ventesimo posto del mese di aprile 2013 all’attuale undicesima posizione. Geografia delle fonti di spam rilevate nel mese di maggio 2013 relativamente ai messaggi e-mail
indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei
La prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei è andata nuovamente ad appannaggio della Corea del Sud; nel mese oggetto del presente report, la quota attribuibile al paese dell’Estremo Oriente ha fatto segnare un ulteriore aumento rispetto ad aprile 2013 (+ 2,3 punti percentuali), attestandosi in tal modo su un valore complessivo quantomai elevato (45,7%). Gli Stati Uniti, da parte loro, con un indice pari al 5,8%, si sono di nuovo collocati al secondo posto della classifica relativa alle fonti geografiche dello spam “europeo”, sebbene nel mese qui analizzato la quota riconducibile agli USA abbia fatto registrare un decremento dello 0,9% rispetto ad aprile 2013. La terza posizione risulta occupata ‐ così come nel mese precedente ‐ dal Vietnam (5,8%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese situato nel Sud‐est asiatico ‐ e diretti verso gli utenti della Rete europei ‐ ha fatto registrare un ulteriore incremento (+ 0,6%) rispetto all’analogo indice riscontrato nello scorso mese di aprile. La quota riconducibile alla Cina è invece diminuita dell' 1,1%: il "colosso" dell'Estremo Oriente è in tal modo passato dalla quinta all'ottava posizione della speciale classifica "regionale" da noi elaborata. L'indice relativo ai messaggi e‐mail indesiderati provenienti dal territorio tedesco (1,2%) si è mantenuto stabile rispetto all'analogo valore rilevato nel mese precedente; tuttavia, a seguito dei cambiamenti intervenuti nel gioco delle quote attribuibili agli altri paesi presenti in graduatoria, la Germania ha "perso" ben tre posizioni nel rating, passando così dalla tredicesima alla sedicesima posizione della classifica riservata allo spam "europeo". Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di maggio 2013
La graduatoria relativa alla ripartizione delle fonti di spam per macro‐regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 56,1%; nel mese di maggio 2013, l’indice complessivamente attribuibile al continente asiatico ha fatto registrare un incremento di 0,4 punti percentuali rispetto all’analogo valore riscontrato nel mese precedente. Così come nel rating di aprile 2013, il secondo e il terzo gradino del “podio” virtuale risultano occupati da America Settentrionale (18,1%) ed Europa Orientale (14,6%). Allegati nocivi rilevati nel traffico di posta elettronica Nel mese di maggio 2013, all’interno dei flussi di posta elettronica mondiali, la quota relativa alle e‐mail contenenti allegati dannosi si è attestata su un valore medio pari al 2,8% del traffico e‐mail globale, facendo in tal modo registrare un incremento di 0,4 punti percentuali rispetto all’analogo valore rilevato nel mese scorso. Continua quindi a rimanere piuttosto elevato il numero delle e‐mail di spam preposte a convogliare allegati nocivi verso le caselle di posta elettronica degli utenti. TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica
nel mese di maggio 2013 La TOP‐10 del mese di maggio 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali risulta capeggiata, così come nel mese precedente, dal malware classificato con la denominazione di Trojan‐Spy.HTML.Fraud.gen (5,9%); la quota attribuibile a tale programma ha fatto tuttavia registrare una diminuzione di quasi due punti percentuali rispetto all’analogo indice rilevato in aprile. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Rileviamo inoltre come la seconda e la terza posizione (ed ugualmente l'ottava e la nona piazza) della speciale graduatoria analizzata nel presente capitolo del report siano andate ad appannaggio di software nocivi riconducibili alla famiglia di malware denominata ZeuS/Zbot. Da molto tempo il famigerato Trojan in questione non occupava posizioni così elevate all'interno del rating dedicato ai programmi maggiormente diffusi in seno ai flussi e‐mail; ricordiamo, tuttavia, come nel periodo 2009‐
2010 ZeuS abbia goduto di notevole popolarità presso le folte schiere dei malintenzionati della Rete. Lo scopo principale che si prefiggono i programmi dannosi appartenenti alla famiglia ZeuS/Zbot è rappresentato dal furto delle informazioni confidenziali di varia natura custodite nei computer degli utenti, inclusi ‐ ovviamente ‐ i dati sensibili relativi alle carte di credito. Nel mese di maggio 2013, la quota complessiva attribuibile ai Trojan facenti parte della suddetta famiglia è risultata essere pari al 26,2% del volume complessivo di programmi nocivi rilevati all'interno del traffico di posta elettronica. Costituisce indubbiamente motivo di particolare interesse e sorpresa il fatto che, nel mese oggetto del presente report, alla quinta posizione della speciale graduatoria da noi stilata si sia insediato il malware classificato come Exploit.MSWord.Agent.di. Come è noto, gli exploit vengono distribuiti molto raramente per mezzo degli allegati nocivi; i loro autori, in effetti, preferiscono in genere aggiungere appositi link ai messaggi di spam, attraverso i quali gli utenti‐vittima vengono poi rediretti verso siti web malevoli, preposti a generare il download di pericolosi exploit sui computer dei destinatari dell'e‐mail nociva, ovviamente a totale insaputa di questi ultimi. I cybercriminali che si avvalgono di Exploit.MSWord.Agent.di agiscono invece in maniera diversa: essi inviano alla vittima predestinata un documento Microsoft Word contenente un particolare codice nocivo, in grado di sfruttare la vulnerabilità CVE‐2012‐0158 nel corso del processo di infezione del computer. Osserviamo inoltre come il programma backdoor classificato come Worm.Win32.Luder.anmw ‐ "new entry" assoluta della TOP‐10 qui analizzata ‐ sia stato appositamente realizzato dai virus writer allo scopo di assumere di nascosto il controllo remoto dei computer sottoposti ad attacco informatico. Sottolineiamo infine la presenza, all'interno della TOP‐10 di maggio 2013, di un programma backdoor appartenente alla famiglia Androm (7a posizione), così come di un trojan‐spyware riconducibile alla famiglia Tepfer (10a posizione). Ripartizione per paesi dei rilevamenti eseguiti nel mese di maggio 2013 dall’antivirus e-mail La leadership della graduatoria qui sopra inserita ‐ riguardante i paesi nei quali, durante il mese di maggio 2013, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e‐mail ‐ è andata nuovamente ad appannaggio degli Stati Uniti. Rispetto ad aprile 2013, l'indice attribuibile agli USA ha fatto registrare un incremento dell' 1,8%, attestandosi in tal modo su un valore medio pari al 14,2%. Per contro, la quota ascrivibile alla Germania (9,5%) ha fatto segnare una diminuzione dell' 1,2% rispetto all'analogo valore riscontrato nel mese scorso; il paese in questione ha tuttavia conservato la seconda posizione all'interno del rating analizzato nel presente capitolo del report. Il terzo gradino del podio "virtuale" di maggio risulta occupato dalla Gran Bretagna, con una quota pari al 6,1%. Nelle ultime tre posizioni della TOP‐10 qui sopra riportata si sono infine insediati Hong Kong (2,9%), Giappone (2,6%) e Canada (2,5%). Ricordiamo a tal proposito che, nel mese precedente, la "coda" della TOP‐10 era invece costituita da Belgio, Cina e Russia: tali paesi occupavano, rispettivamente, l'ottava, la nona e la decima posizione della speciale graduatoria da noi elaborata. Osserviamo infine come, nel mese oggetto del presente report, la quota ascrivibile alla Federazione Russa si sia attestata su un valore medio pari al 2,2% del volume complessivo dei rilevamenti eseguiti dall'antivirus e‐mail. Peculiarità e tratti caratteristici dello spam nocivo di maggio Desideriamo sottolineare in primo luogo come, nel mese di maggio 2013, il grado di popolarità delle campagne di spam volte a distribuire messaggi e‐mail maligni camuffati sotto forma di notifiche e comunicazioni provenienti da noti negozi online, si sia mantenuto su livelli decisamente elevati. Ad esempio, alla vigilia della stagione estiva, abbiamo rilevato all'interno dei flussi di spam un mailing di massa attraverso il quale i cybercriminali hanno provveduto a diffondere in Rete una ragguardevole quantità di messaggi di posta elettronica mascherati sotto forma di notifiche ufficiali provenienti (in apparenza!) da Amazon, il gigante del commercio elettronico. Nella circostanza, i malintenzionati ringraziavano innanzitutto il destinatario dell'e‐mail per aver effettuato un (inesistente) ordine; per poter apportare eventuali modifiche a tale "ordine" e monitorare lo stato di quest'ultimo, l'utente‐
vittima ‐ secondo le intenzioni dei cybercriminali ‐ si sarebbe dovuto recare sul sito web della suddetta società, oppure avrebbe dovuto cliccare sugli appositi link inseriti all'interno del messaggio. Di fatto, i collegamenti ipertestuali presenti nell'e‐mail fasulla erano realmente preposti a condurre l'utente verso il sito ufficiale del negozio online in questione; pertanto, cliccando su di essi, il destinatario del messaggio nocivo non si sarebbe imbattuto ‐ come invece avviene quasi sempre ‐ in insidiose pagine web di phishing o in siti nocivi imbottiti di pericolosi malware. Nel corpo dell'e‐mail, tuttavia, si precisava che ulteriori informazioni riguardo all'ordine "piazzato" erano contenute nel file allegato al messaggio di posta elettronica in causa. Tale nota era stata "opportunamente" evidenziata in blu, affinché l'utente potesse prestare immediatamente attenzione ad essa, prima di qualunque altro elemento contenuto nell'e‐mail nociva. Nella circostanza, a differenza di quanto abitualmente avviene con numerosi altri messaggi di posta dall'analogo contenuto, gli spammer non intendevano spaventare l'utente, minacciando l'annullamento dell'ordine, in maniera tale che il destinatario dell'e‐mail, intimorito, provvedesse ad aprire quanto prima il file nocivo allegato al messaggio di posta elettronica. Al contrario, gli autori della campagna di spam qui analizzata si preoccupavano addirittura di fornire all'utente dettagliate informazioni sulle condizioni e sulle modalità previste per poter eventualmente recedere dall'ordine "effettuato". In reaaltà, l'archivio zip allegato ai messagggi di spam so
opra descritti ‐ <Your Ord
der Details w
with Amazzon.zip> ‐ celava il file no
ocivo eseguib
bile <Your Orrder Details w
with Amazon
n.PDF.exe>, rilevato dallee soluzioni anti‐malware di Kaspersky Lab ccome Backdo
oor.Win32.Androm.qp. C
Come abbiam
mo visto in un
n 013 uno dei programmi malware rico
onducibili alla preceedente capitolo del report, nel mese di maggio 20
suddeetta famigliaa si è insediatto al settimo
o posto della speciale graaduatoria riseervata ai software nocivii magggiormente diffusi in seno
o ai flussi e‐m
mail mondiali. Ricordiamo
o a tal proposito che, nello scorso meese di aprile, un altro programmaa dannoso ap
ppartenente alla medesim
ma famiglia A
Androm era entrato a far partee delle posizioni di assolu
uto vertice deella classificaa sopra menzzionata, collo
ocandosi di ffatto sul terzzo gradino del "podiio" virtuale. Una volta peenetrato all'interno del computer‐vitttima, il malw
ware Backd
door.Win32.Androm ‐ a ttotale insapu
uta dell'uten
nte ‐ è in grad
do di effettuare il downlo
oad ed avviare l’eseccuzione di ulteriori file no
ocivi sulla macchina infettta, di procedere all’invio
o di dati ed informazioni di qualssiasi genere u
utilizzando l'unità comprromessa dal malware, no
onché di esegguire numero
ose altre attività dannose. Inoltre, i com
mputer infetttati da progrrammi malevvoli di tal gen
nere entrano
o spesso a faar otnet, risultaando poi com
mpletamente
e asserviti alle reti‐zombiie di volta in volta allestitte partee di estese bo
dai m
malintenzionaati. Nel m
mese di magggio 2013, gli spammer haanno continu
uato imperteerriti a inondare le e‐mail box degli utentti della Rete con ingenti q
quantità di m
messaggi di p
posta nocivi m
mascherati ssotto forma d
di notifiche ee comu
unicazioni uffficiali proven
nienti da notte società di trasporto e llogistica: all'interno delle
e speciali "trap
ppole" antisp
pam da noi alllestite sono stati ad esem
mpio individuati numero
osi messaggi apparentemente inviati da un
na rappresen
ntanza del ce
elebre corriere internazio
onale UPS. Attraverso talli e‐
n lingua ingleese, si comunicava al desstinatario deel messaggio che, a seguito mail ccontraffatte,, elaborate in
di un errore a liveello di indirizzo di spedizione, il corrie
ere non avevva potuto efffettuare la co
onsegna di un ben precisato
o pacco a lui spedito. Perr procedere al ritiro del ccollo in questtione, l’utente si sarebbee non b
così d
dovuto recarre ‐ secondo le intenzioni dei malfattori ‐ presso l'ufficio dellaa suddetta so
ocietà, dopo aver stampato l’aapposito documento allegato al messsaggio e‐mail ricevuto. L'arch
hivio zip alleggato all'e‐maail ‐ ovvero <<UPS_Label_
_23052013.zzip> ‐ custodiva tuttavia n
non il documento prom
messo, bensì il file eseguib
bile <UPS_Laabel_230520
013.exe>, rileevato dai pro
odotti ello scorso Kaspeersky Lab come Trojan‐PSW.Win32.TTepfer.kxdh. Ricordiamo,, nella circosttanza, che ne
mesee di aprile uno dei prograammi malware riconducib
bili a tale fam
miglia era andato ad occu
upare addirrittura il quarrto posto della speciale TTOP‐10 riservvata ai softw
ware dannosi maggiormente diffusi nel traffico di posta eelettronica; n
nell'analogo rating di maggio 2013 ‐ ccome abbiam
mo visto in precedenza ‐ si è inseediato alla deecima posizione della graaduatoria un
n ulteriore raappresentantte della famiiglia di malware denominata Tepffer. Si tratta, nella fattisp
pecie, di un p
programma trojan in grad
do di realizzaare il furto deelle word utilizzate nell'ambitto dei client FTP e dei pro
ogrammi di p
posta elettro
onica; tale te
emibile passw
softw
ware nocivo ssi prefigge uggualmente d
di carpire login e passworrd introdottee dall'utente nel proprio brow
wser. Nel tenttativo di convincere l'uteente‐vittima riguardo all'aautenticità ee alla legittim
mità del messsaggio e‐maill (in realtà co
ontraffatto) ii malintenzio
onati hanno poi aggiunto
o al corpo dell'e‐mail ‐ come si può
ò vedere nello screensho
ot qui sopra rriportato ‐ ulteriori informazioni, allo
o scopo di fugare ogni dubb
bio residuo. In particolar modo, gli spammer si sono "premuraati" di precisare che l'e‐m
mail provienee da un
n account di posta non m
monitorato e che, quindi, non bisognaa inviare alcu
un messaggio
o di replica; oltre a ciò, essi haanno ugualm
mente provveeduto ad inse
erire in calcee all'e‐mail il consueto disclaimer sullla riservvatezza dellaa comunicazione inoltrataa. Il pro
ogramma trojjan Tepfer.kd
dkq è risultato essere protagonista d
di un ulteriorre mailing di massa nocivvo organ
nizzato dagli spammer neel corso del m
mese di magggio 2013. Il ffile maligno, denominato
o <wup
pos_digital_ccert_{DIGIT[1
19]}.exe>, erra stato compresso all'intterno di un aarchivio zip aallegato al messsaggio di postta elettronicca; apparenteemente, l'e‐m
mail risultavaa essere statta inviata dall servizio di sicureezza della so
ocietà Western Union. Attraverso tali meessaggi di sp
pam, veniva ccomunicato aal destinatarrio dell’e‐mail che la sudd
detta societàà o all'assegnaazione di un n
nuovo certifiicato digitalee, da utilizzarre per eseguire le avevaa provveduto
transsazioni finanzziarie online.. Per ottenerre istruzioni d
dettagliate ssulle procedu
ure di installaazione del certifficato digitalee in question
ne, l'utente‐vvittima avreb
bbe dovuto n
necessariamente aprire iil file allegato
o al messsaggio ricevuto. Nell'ee‐mail si asseeriva ugualm
mente che, peer ogni ulteriiore chiarimeento in proposito, o in caaso di eventu
uali probllemi, l'utentee si sarebbe potuto rivolgere direttam
mente al serrvizio di supp
porto tecnico
o allestito da Westtern Union; aanche in questo caso, con
n un approcccio del generre, appare neetta l'intenzione degli spam
mmer di cercaare di fugaree nel destinattario dell'e‐m
mail ogni min
nimo dubbio riguardo alla legittimità del m
messaggio di posta elettro
onica da essii recapitato. Phisshing In maaggio, la quota percentuaale relativa aai messaggi d
di phishing in
ndividuati neel flusso globale delle e‐m
mail è legggermente au
umentata rispetto all'anaalogo valore rilevato nel p
precedente mese di aprile, ed ha fattto pertaanto segnaree un indice paari allo 0,002
24% del volume complesssivo di messsaggi di postaa elettronica circollanti in Rete.. TOP‐100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di maggio 2013 ‐ Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti‐phishing La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti‐phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web. I dati raccolti ed analizzati dai nostri esperti hanno evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la categoria che raggruppa i social network abbia continuato a detenere la prima posizione della speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher; l’indice percentuale attribuibile a tale categoria ha fatto segnare un incremento dello 0,5% rispetto al valore per essa riscontrato nel mese precedente, attestandosi in tal modo su un valore medio complessivo pari al 35,93%. Il secondo e il terzo gradino del “podio” virtuale risultano poi occupati dalle categorie “Motori di ricerca” (14,95%) ed “Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari” (14,93%); abbiamo quindi assistito, rispetto all'analogo rating di aprile 2013, ad un reciproco scambio di posizioni tra le due categorie in questione. Così come nello scorso mese di aprile, la quarta posizione della graduatoria qui sopra riportata è andata ad appannaggio della categoria “Vendor IT” (9,93%). Completa la TOP‐5 relativa alle organizzazioni risultate maggiormente sottoposte agli attacchi di phishing durante il mese di maggio 2013, la categoria “Negozi Internet ed aste online” (8,68%). La categoria denominata "Fornitori di servizi di telefonia ed Internet provider", infine, con una quota percentuale pari all' 8,39%, "perde" una posizione in classifica rispetto all'analogo rating dello scorso mese di aprile, attestandosi in tal modo alla sesta posizione della TOP‐100 qui sopra riportata. Conclusioni Lungo tutto l'arco del mese di maggio 2013 gli spammer hanno continuato a "sfruttare" ampiamente i nominativi di celebri personaggi e note società, sia per la conduzione di campagne di spam di natura fraudolenta, sia per reclamizzare, come al solito, prodotti e servizi di ogni genere. I malintenzionati di turno, ad esempio, nell'ambito di numerosi mailing di massa truffaldini hanno attivamente utilizzato il nome della compagnia Microsoft, il colosso dell'informatica, per cercare di raggirare il maggior numero possibile di utenti. Così come nei mesi passati, una considerevole parte (circa il 38%) dei messaggi e‐mail indesiderati diffusi su scala mondiale ‐ verso tutti e cinque i continenti ‐ è stata distribuita in Rete dal territorio di due soli paesi: Cina e Stati Uniti. Evidenziamo inoltre come, all'interno della graduatoria relativa alla geografia delle fonti dello spam mondiale, sia risultato in ulteriore crescita l'indice percentuale ascrivibile alla Corea del Sud. Il paese dell'Estremo Oriente, collocatosi nuovamente al terzo posto della speciale classifica da noi stilata, si è così avvicinato ancor di più alla seconda posizione del rating in questione. Al tempo stesso, ci pare doveroso sottolineare come quasi la metà (circa il 46%) dello spam giunto nel corso del mese di maggio 2013 nelle caselle di posta elettronica degli utenti della Rete situati in paesi europei sia stato diffuso proprio dal territorio della Corea del Sud. I paesi che sono andati ad occupare rispettivamente il secondo e il terzo gradino del podio "virtuale" relativo alla speciale classifica "europea" delle fonti di spam ‐ ovvero Stati Uniti e Vietnam ‐ hanno fatto registrare quote percentuali notevolmente inferiori rispetto al leader della graduatoria, dal quale risultano separati da un ampio gap percentuale. Nel mese oggetto del presente report ‐ così come avevamo previsto ‐ la categoria che raggruppa i social network ha continuato a mantenere la poco invidiata posizione di leader assoluto della TOP‐100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing; l'indice percentuale riconducibile a tale categoria ha fatto segnare un lieve incremento rispetto al valore per essa riscontrato nel mese precedente. Rispetto ad aprile 2013 è leggermente aumentata anche la quota ascrivibile alla categoria "Negozi Internet ed aste online". Per contro, in maggio, l'indice percentuale inerente ai "Giochi online" ha fatto inaspettatamente registrare una sensibile diminuzione rispetto all'analogo valore rilevato in aprile. Per ciò che riguarda il prossimo mese di giugno, tuttavia, con l'inizio delle vacanze estive è lecito attendersi un considerevole incremento del numero degli assalti portati dai phisher nei confronti dei siti web appartenenti a questa specifica categoria. Durante il lungo periodo delle vacanze estive, gli studenti di ogni ordine e grado rimangono spesso vittima dei truffatori del web. Come abbiamo visto, al momento attuale, presso le folte schiere dei malintenzionati della Rete che si dilettano a diffondere file nocivi di ogni genere nelle caselle di posta elettronica degli utenti, sembrano godere di particolare popolarità le campagne di spam volte a distribuire messaggi e‐mail maligni camuffati sotto forma di notifiche e comunicazioni provenienti da note società e dai più disparati servizi online. Pertanto, qualora riceviate e‐mail del genere, adottate sempre un atteggiamento particolarmente cauto e prudente. Ricordate, a tal proposito, che le risorse web ufficiali, del tutto legittime, non invierebbero mai ai propri clienti delle e‐mail in cui si richiede, più o meno esplicitamente, di cliccare sul link contenuto nel messaggio per accedere ad appositi form adibiti all'introduzione o alla conferma di dati sensibili di natura personale o finanziaria. Tanto più, nessuna società od organizzazione seria ed attendibile si sognerebbe mai di intimorire la propria clientela con minacce per nulla velate di blocco o chiusura di conti bancari o account Internet. Non bisogna pertanto mai cliccare, in nessuna circostanza, sui link che sono stati opportunamente bloccati ed inibiti dal software antivirus installato sul proprio computer o dal browser utilizzato per la navigazione in Rete. Occorre inoltre prestare sempre la massima attenzione ai link contenuti nel messaggio di posta elettronica ricevuto. Se il link presente nell'e‐mail sembra in tutta evidenza destinato a condurre verso un sito web non ufficiale, oppure se nel testo del messaggio viene indicato l'indirizzo di un sito Internet legittimo, mentre il collegamento ipertestuale inserito dai malfattori conduce, di fatto, verso un altro sito web, vi trovate sicuramente di fronte ai primi segnali che caratterizzano la presenza di una temibile e‐mail di phishing. Se vi sorgono dei dubbi riguardo all'autenticità di un messaggio di posta elettronica giunto nella vostra e‐mail box, mettetevi in contatto al più presto con il servizio di assistenza della società o dell'organizzazione a nome della quale è stato spedito il messaggio e chiarite definitivamente se si tratta, in realtà, di un invio di corrispondenza legittimo ed autorizzato.