Symantec kondigde vandaag de publicatie aan van het MessageLabs Intelligence Report voor juli 2010. Uit de analyse blijkt dat het aandeel van spam die verkorte hyperlinks bevat het voorbije jaar aanzienlijk is toegenomen. Spam met verkorte hyperlinks bereikte op 20 april 2010 een dagrecord van 18% van alle spam of 23,4 miljard spamberichten. Dit was het dubbele van het dagrecord van vorig jaar toen spam met verkorte hyperlinks op 28 juli 2009 met meer dan 10 miljard spamberichten 9,3% van alle spam haalde. Niet alleen liggen de pieken hoger, de gemiddelde dagelijkse waarden wijzen er ook op dat de tactiek nu aanzienlijk meer wordt toegepast. In het tweede kwartaal van 2009 was er maar één dag waarop verkorte hyperlinks in meer dan 1 op 200 spamberichten voorkwamen. In het tweede kwartaal van 2010 waren er al 43 dagen waarop minstens 1 op 200 spamberichten een verkorte URL bevatte en 10 dagen waarop minstens 5% van alle spam deze links bevatte.
"Spammers gebruiken elke tactiek die het moeilijker maakt om hun spamberichten te blokkeren," verklaarde Paul Wood, Senior Analyst van MessageLabs Intelligence bij Symantec Hosted Services. "Als spammers in hun berichten een verkorte URL verwerken, linken ze hiermee door naar legitieme en gereputeerde domeinen. Traditionele antispamfilters krijgen het daardoor moeilijker om op basis van de reputatie van de domeinen die ze in spamberichten aantreffen deze e-mails als spam te brandmerken."
Verdere analyse van spam met verkorte URL’s bracht aan het licht dat de botnet Storm, die in mei 2010 opnieuw zijn opwachting maakte, verantwoordelijk is voor het grootste volume aan botnetspam met verkorte hyperlinks. Hij zorgde ervoor dat 11,8% van alle spam voorzien was van een verkorte URL. Dit kwartaal was een groot gedeelte van deze spam met verkorte URL’s ook van andere bronnen afkomstig, inclusief niet nader geïdentificeerde botnets.
"Botnets zijn weliswaar vaak de bron van spam met een verkorte URL, maar toch is 28% van dit soort spam afkomstig van bronnen die niet in verband worden gebracht met bekende botnets. Het gaat dan vaak om spambotnets die (nog) niet geïdentificeerd zijn of andere bronnen, zoals webmailaccounts die worden aangemaakt met tools om CAPTCHA’s op te lossen," verklaarde Paul Wood.
Volgens MessageLabs Intelligence wordt er gemiddeld één nieuwe website gecreëerd per 74.000 spamberichten met een verkorte URL. De meestbezochte verkorte links uit spamberichten kregen meer dan 63.000 websitebezoeken te verwerken.
Eerder deze maand maakte MessageLabs Intelligence melding van een verhoogde dreiging op het web. Per klant en per maand blokkeerde MessageLabs Hosted Web Security Service tot nu toe in 2010 ruim 20% meer webbedreigingen dan in 2009. Een analyse van de geblokkeerde domeinen in 2010 leerde dat bijna 90% van de schadelijke websites legitiem was en door malware geïnfecteerd zonder dat de eigenaars dit wisten.
In juli onderschepte MessageLabs Intelligence een nieuwe, schadelijke phishingaanval die een update van een PDF Reader als lokmiddel gebruikte. De criminelen probeerden aan de creditkaartgegevens van de slachtoffers te geraken. Begin juli had MessageLabs Intelligence al meer dan 26.000 van deze "PDF Reader Update"-phisingaanvallen geblokkeerd.
Ten slotte ontdekte MessageLabs Intelligence in juli ook gerichte aanvallen in meerdere stappen: de aanvaller verschafte zich eerst ongeoorloofd toegang tot een website van een organisatie en plaatste op deze site een valse landing page met verborgen JavaScript die een schadelijke code bevat. De aanvaller stuurde vervolgens criminele e-mails naar de geselecteerde adressen van een andere organisatie en deed alsof de e-mails van een webmailaccount afkomstig waren. De e-mails bevatten een link naar de valse landing page die eerder op de website van de eerste organisatie was aangemaakt.
Andere opmerkelijke bevindingen van het rapport:
Spam: In juli 2010 bedroeg het totale spampercentage in het e-mailverkeer afkomstig van nieuwe en voordien onbekende kwaadwillige bronnen 88,9% (1 op 1,12 e-mails), een daling met 0,4 percentpunten sinds juni.
Virussen: In juli zat er in het e-mailverkeer van nieuwe en voordien onbekende kwaadwillige bronnen over het algemeen een virus in één op 306,1 e-mails (0,327%), een daling met 0,04 percentpunten sinds juni. In juli bevatte 17,1% van via e-mails verspreide malware een link naar criminele websites, een stijging met 0,4 percentpunten sinds juni.
Endpointbedreigingen: Bedreigingen van endpointapparaten zoals laptops, pc’s en servers kunnen organisaties op verschillende manieren binnendringen, zoals drive-by-aanvallen van besmette websites, trojan-aanvallen en wormen die zich verspreiden door zichzelf naar externe geheugens te kopiëren. De analyse van de meest geblokkeerde malware tijdens de laatste maand toonde aan dat het Sality.AE-virus het meeste voorkomt. Sality.AE verspreidt zich door programmabestanden (executables) te infecteren en vervolgens te proberen om potentieel schadelijke bestanden van het internet te downloaden.
Phishing: In juli bedroeg de phisingactiviteit 1 op 557,5 e-mails (0,179%), een toename met 0,02 percentpunten sinds juni. In verhouding tot het totaal aantal bedreigingen via e-mail, zoals virussen en trojan-aanvallen, is het aantal phishing-e-mails met 3,2 percentpunten gedaald tot 60,2% van alle malware en phising-aanvallen via e-mail samen.
Veiligheid op het web: Uit analyse van de webbeveiligingsactiviteiten blijkt dat 30,5% van alle in juli geblokkeerde schadelijke domeinen nieuw was, een stijging met 0,2 percentpunt sinds juni. Bovendien was in juli 13,0% van alle op het web geblokkeerde malware nieuw, een toename met 0,5 percentpunt sinds vorige maand. MessageLabs Intelligence ontdekte per dag gemiddeld ook 4.425 nieuwe websites die malware en andere potentieel ongewenste programma’s zoals spyware en adware herbergen. Dit komt overeen met een stijging met 176,9% sinds juni.
Geografische trends:
- Het spamniveau in Luxemburg steeg in juli met 2,4 percentpunten tot 93,5%, waardoor dit het meest gespamde land was.
- In de Verenigde Staten was 89,8% van de e-mails spam en in Canada 88,1%. Het spamniveau in het Verenigd Koninkrijk bedroeg 87,8%.
- Nederland haalde een spamniveau van 90,4% van het e-mailverkeer, Australië 88,6%, Duitsland 89,5% en Denemarken 91,8%.
- Het spamniveau in Hong Kong bereikte 90,6% en in Singapore 86,7%. Het spamniveau in Japan lag op 86,2% en in China op 92,1%.
- In Taiwan bedroeg de virusactiviteit 1 op 50,0 e-mails, waardoor dit land in juli nog steeds het grootste slachtoffer van malware in e-mails was.
- In de Verenigde Staten bedroeg het virusniveau 1 op 520,1 en in Canada 1 op 430,8. In Duitsland bedroeg het virusniveau 1 op 487,8, in Nederland 1 op 767,7, in Australië 1 op 516.3, in Hong Kong 1 op 398,9, in Japan 1 op 874,5 en in Singapore 1 op 696,1.
- Nieuw-Zeeland werd in juli het grootste doelwit van phishing-aanvallen, met 1 dergelijke e-mail op 111,2 e-mails.
Verticale trends:
- In juli bleef Engineering met een spamniveau van 92,6% de meest gespamde sector.
- Het spamniveau in het Onderwijs bedroeg 89,1%, in de sector Chemie & Farmaceutica 89,0%, bij IT Services 89,6%, bij Retail 89,9%, bij de Overheid 87,3% en ten slotte in de Financiële Sector 87,4%.
- In juli werd Engineering de sector die het meeste blootstond aan malware-aanvallen: 1 op 112,0 e-mails werd geblokkeerd als schadelijk.
- Het virusniveau in de sector Chemie & Farmaceutica bedroeg 1 op 449,0, bij IT Services 1 op 377,5, bij Retail 1 op 706,1, in het Onderwijs 1 op 227,3 en in de Financiële Sector 1 op 256,2.
Het MessageLabs Intelligence Report voor juli 2010 bevat meer informatie over alle bovenstaande trends en cijfers en meer gedetailleerde geografische en verticale trends. Raadpleeg hier het volledige rapport: http://www.messagelabs.com/intelligence.aspx.