Spammers nemen steeds vaker toevlucht tot URL-verkortingsdiensten
23 juli 2010 -
Symantec presenteerde gisteren het MessageLabs Intelligence Report voor juli 2010. Hieruit blijkt dat het aandeel van spam die verkorte hyperlinks bevat het voorbije jaar aanzienlijk is toegenomen. Spam met verkorte hyperlinks bereikte op 20 april 2010 een dagrecord van achttien procent van alle spam (23,4 miljard spamberichten).
Niet alleen liggen de pieken hoger, de gemiddelde dagelijkse waarden wijzen er ook op dat de tactiek nu aanzienlijk meer wordt toegepast. In het tweede kwartaal van 2009 was er maar één dag waarop verkorte hyperlinks in meer dan een op 200 spamberichten voorkwamen. In het tweede kwartaal van 2010 waren er al 43 dagen waarop minstens een op 200 spamberichten een verkorte URL bevatte en tien dagen waarop minstens vijf procent van alle spam deze links bevatte.
Legitieme links
"Spammers gebruiken elke tactiek die het moeilijker maakt om hun spamberichten te blokkeren," verklaarde Paul Wood, Senior Analyst van MessageLabs Intelligence bij Symantec Hosted Services. "Als spammers in hun berichten een verkorte URL verwerken, linken ze hiermee door naar legitieme en gereputeerde domeinen. Traditionele antispamfilters krijgen het daardoor moeilijker om op basis van de reputatie van de domeinen die ze in spamberichten aantreffen deze e-mails als spam te brandmerken."
Storm
Verdere analyse van spam met verkorte URL’s bracht aan het licht dat de botnet Storm, die in mei 2010 opnieuw zijn opwachting maakte, verantwoordelijk is voor het grootste volume aan botnetspam met verkorte hyperlinks. Hij zorgde ervoor dat 11,8 procent van alle spam voorzien was van een verkorte URL. Dit kwartaal was een groot gedeelte van deze spam met verkorte URL’s ook van andere bronnen afkomstig, inclusief niet nader geïdentificeerde botnets.
"Botnets zijn weliswaar vaak de bron van spam met een verkorte URL, maar toch is 28 procent van dit soort spam afkomstig van bronnen die niet in verband worden gebracht met bekende botnets. Het gaat dan vaak om spambotnets die (nog) niet geïdentificeerd zijn of andere bronnen, zoals webmailaccounts die worden aangemaakt met tools om CAPTCHA’s op te lossen," verklaarde Paul Wood.
Verhoogde dreiging
Eerder deze maand maakte MessageLabs Intelligence melding van een verhoogde dreiging op het web. Per klant en per maand blokkeerde MessageLabs Hosted Web Security Service tot nu toe in 2010 ruim twintig procent meer webbedreigingen dan in 2009. Een analyse van de geblokkeerde domeinen in 2010 leerde dat bijna 90 procent van de schadelijke websites legitiem was en door malware geïnfecteerd zonder dat de eigenaars dit wisten.
Phishing via PDF Reader
In juli onderschepte MessageLabs Intelligence een nieuwe, schadelijke phishingaanval die een update van een PDF Reader als lokmiddel gebruikte. De criminelen probeerden aan de creditkaartgegevens van de slachtoffers te geraken. Begin juli had MessageLabs Intelligence al meer dan 26.000 van deze "PDF Reader Update"-phisingaanvallen geblokkeerd.
Gerichte aanvallen in meer stappen
Ten slotte ontdekte MessageLabs Intelligence in juli ook gerichte aanvallen in meerdere stappen: de aanvaller verschafte zich eerst ongeoorloofd toegang tot een website van een organisatie en plaatste op deze site een valse landing page met verborgen JavaScript die een schadelijke code bevat. De aanvaller stuurde vervolgens criminele e-mails naar de geselecteerde adressen van een andere organisatie en deed alsof de e-mails van een webmailaccount afkomstig waren. De e-mails bevatten een link naar de valse landing page die eerder op de website van de eerste organisatie was aangemaakt.
Andere opmerkelijke bevindingen
- Spam: In juli 2010 bedroeg het totale spampercentage in het e-mailverkeer afkomstig van nieuwe en voordien onbekende kwaadwillige bronnen 88,9 procent (één op 1,12 e-mails), een daling met 0,4 percentpunten sinds juni.
- Virussen: In juli zat er in het e-mailverkeer van nieuwe en voordien onbekende kwaadwillige bronnen over het algemeen een virus in één op 306,1 e-mails (0,327 procent), een daling met 0,04 percentpunten sinds juni. In juli bevatte 17,1 procent van via e-mails verspreide malware een link naar criminele websites, een stijging met 0,4 percentpunten sinds juni.
- Endpointbedreigingen: Bedreigingen van endpointapparaten zoals laptops, pc’s en servers kunnen organisaties op verschillende manieren binnendringen, zoals drive-by-aanvallen van besmette websites, trojan-aanvallen en wormen die zich verspreiden door zichzelf naar externe geheugens te kopiëren. De analyse van de meest geblokkeerde malware tijdens de laatste maand toonde aan dat het Sality.AE-virus het meeste voorkomt. Sality.AE verspreidt zich door programmabestanden (executables) te infecteren en vervolgens te proberen om potentieel schadelijke bestanden van het internet te downloaden.
- Phishing: In juli bedroeg de phisingactiviteit een op 557,5 e-mails (0,179 procent), een toename met 0,02 percentpunten sinds juni. In verhouding tot het totaal aantal bedreigingen via e-mail, zoals virussen en trojan-aanvallen, is het aantal phishing-e-mails met 3,2 percentpunten gedaald tot 60,2 procent van alle malware en phising-aanvallen via e-mail samen.
- Veiligheid op het web: Uit analyse van de webbeveiligingsactiviteiten blijkt dat 30,5 procent van alle in juli geblokkeerde schadelijke domeinen nieuw was, een stijging met 0,2 percentpunt sinds juni. Bovendien was in juli 13,0 procent van alle op het web geblokkeerde malware nieuw, een toename met 0,5 percentpunt sinds vorige maand. MessageLabs Intelligence ontdekte per dag gemiddeld ook 4.425 nieuwe websites die malware en andere potentieel ongewenste programma’s zoals spyware en adware herbergen. Dit komt overeen met een stijging met 176,9 procent sinds juni.
Geografische trends • Het spamniveau in Luxemburg steeg in juli met 2,4 percentpunten tot 93,5 procent, waardoor dit het meest gespamde land was.
• In de Verenigde Staten was 89,8 procent van de e-mails spam en in Canada 88,1 procent. Het spamniveau in het Verenigd Koninkrijk bedroeg 87,8 procent.
• Nederland haalde een spamniveau van 90,4 procent van het e-mailverkeer, Australië 88,6 procent, Duitsland 89,5 procent en Denemarken 91,8 procent.
• Het spamniveau in Hong Kong bereikte 90,6 procent en in Singapore 86,7 procent. Het spamniveau in Japan lag op 86,2 procent en in China op 92,1 procent.
• In Taiwan bedroeg de virusactiviteit een op 50,0 e-mails, waardoor dit land in juli nog steeds het grootste slachtoffer van malware in e-mails was.
• In de Verenigde Staten bedroeg het virusniveau één op 520,1 en in Canada één op 430,8. In Duitsland bedroeg het virusniveau één op 487,8, in Nederland een op 767,7, in Australië één op 516.3, in Hong Kong één op 398,9, in Japan één op 874,5 en in Singapore één op 696,1.
• Nieuw-Zeeland werd in juli het grootste doelwit van phishing-aanvallen, met één dergelijke e-mail op 111,2 e-mails.
Verticale trends
• In juli bleef Engineering met een spamniveau van 92,6 procent de meest gespamde sector.
• Het spamniveau in het Onderwijs bedroeg 89,1 procent, in de sector Chemie & Farmaceutica 89,0 procent, bij IT Services 89,6 procent, bij Retail 89,9 procent, bij de Overheid 87,3 procent en ten slotte in de Financiële Sector 87,4 procent.
• In juli werd Engineering de sector die het meeste blootstond aan malware-aanvallen: 1 op 112,0 e-mails werd geblokkeerd als schadelijk.
• Het virusniveau in de sector Chemie & Farmaceutica bedroeg één op 449,0, bij IT Services één op 377,5, bij Retail één op 706,1, in het Onderwijs één op 227,3 en in de Financiële Sector één op 256,2.