تقرير كاسبرسكي: رسائل البريد الإلكتروني المزعجة...أرقام الربع الثاني للعام الحالي

يتزايد الإهتمام هذه الأيام من قبل الشركات الأمنية والمختصين بموضوع رسائل البريد الإلكتروني الدعائية غير المرغوب فيها أو ما يطلق على تسميتها رسائل سبام “Spam”، كون أن هذه الأخيرة أصبحت من بين أهم السبل المستخدمة في الإحتيال والقرصنة ونشر البرمجيات الضارة، إضافة إلى أنها باتت تتسبب في خسائر مالية للمؤسسات والشركات.
و يقول خبراء أمن المعلومات أن رسائل البريد الإلكتروني المزعجة ما هي إلا عبارة عن مجموعة من رسائل ترسل بكميات هائلة من قبل مجموعة أشخاص يعرفون بإسم “Spammers”، وهم المتطفلين الذين يكسبون أموالهم من تلك النسبة الصغيرة من المستخدمين الذين يستجيبون لرسائلهم. كما يؤكد نفس الخبراء على حقيقة أن البريد المزعج لا يزال يشكل خطراً حقيقياً على مستخدمي البريد الإلكتروني والشبكة، خصوصا في ظل تطور تقنيات المتطفلين وتصديهم لبرامج الحماية والفلترة، وهذا ما يبقي الحرب قائمة.
من جانبه فإن أهم الشركات الرائدة في مجال أمن المعلومات والتي تصدر تقارير دورية تسلط الضوء على خطر رسائل البريد الإلكتروني غير المرغوب فيها هي الشركة الروسية كاسبرسكي لاب “Kaspersky lab”، حيث طرحت مؤخرا تقريرا مفصلا يتناول تطور رسائل سبام خلال الربع الثاني من هذا العام إضافة إلى احتواءه للعديد من النقاط والنتائج نعرضها كالتالي:
أرقام الربع الثاني
وصلت نسبة البريد المزعج في إجمالي الحركة المسجلة للبريد الإلكتروني خلال الربع الثاني من العام 2013 إلى 70.7 بالمئة ولترتفع بالتالي ب 4.2 بالمئة عن الربع الأول من نفس العام.
لم تتجاوز نسبة الرسائل الإلكترونية الإحتيالية أو رسائل الإصطباد “phishing emails” في اجمالي الحركة المسجلة للبريد الإلكتروني خلال الربع الثاني 0.0024 بالمئة، منخفضة بالتالي ب0.0016 بالمئة عن ما كانت عليه في الربع الاول.
أظهر الفحص أن مرفقات البريد الإلكتروني الخبيثة “Malicious attachments” لم تتجاوز 2.3 بالمئة من إجمالي رسائل البريد الإلكتروني في الربع الثاني من العام 2013، ويعني هذا أن تلك المرفقات الخبيثة أصبحت أقل ب1 بالمئة مما كانت عليه خلال الربع الأول من نفس العام.
مرسلو البريد المزعج: الأساليب والحيل
يستخدم مرسلو الرسائل الإلكترونية المزعجة العديد من الأساليب والحيل والتي تكون في الغالب بهدف توليد الأرباح والنصب والإحتيال على المستخدمين.
من جهة أخرى فإنه وعلى الرغم من أن رسائل سبام تحمل في غالبيتها روابط وإعلانات دعائية يؤدي نقر المستخدم عليها إلى حصول الشخص المرسل أو المتطفل على عمولة معينة، إلا أنه وجب التذكير أن أكبر الأرباح تأتي من رسائل سبام التي تحمل برامج خبيثة، وربما يكون هذا هو الدافع الرئيسي لإعتماد هؤلاء المتطفلين على البرمجيات الخبيثة، إضافة إلى اعتمادهم على مجموعة مختلفة من التكتيكات ترتكز بالأساس على موضوع سلوكيات المستخدم العادي والهندسة الاجتماعية.
رسائل البريد الإلكتروني الخبيثة التي تستهدف الشركات
على الرغم من اعتبار الشركات الناشطة في قطاع الأعمال تمثل بيئة مناسبة لتطبيق خطط الوقاية وأدوات الحماية وأمن المعلومات، إلا أنه لا يمكن إنكار أن تلك الشركات هي المستهدف الأول سواء من البرمجيات الخبيثة أو من رسائل سبام الخبيثة. وتظهر نتائج التقرير إلى أن أغلب رسائل البريد الإلكتروني التي تستهدف المستخدمين من الشركات تحمل العديد من المرفقات الخبيثة إضافة إلى أن هذه الرسائل تأتي في صورة إشعارات وهمية للشركات، كم تكون متنوعة من حيث الموضوع، قد تشمل إخطارات نقص البيانات وفشل وصول البريد الإلكتروني أو الفاكس أو الفاتورة أو غيرها من الأشياء التي تجعل هذه الرسائل أقل شبهة في أوساط العمل.
تظهر الصور أدناه مثالا عن هذا النوع من رسائل سبام، حيث صممت لتبدو أنها إشعار فشل في التسليم موجه من قبل “MAILER-DAEMON”–نطاق من الرسائل الإلكترونية يتم إنشاءها في حالة عدم التأكد من العنوان البريدي للمرسل إليه، أو حدوث فشل في الخادم البريدي للمعني- موجهة إلى مدير البريد “postmaster”، في الوقت نفسه تحتوي هذه الرسالة على مرفق قابل للتنفيذ بإمتداد “EXE”، وهو ما يعطي نوعا من الشك، حيث ظهر هذا الملف على شكل دودة بريد إلكتروني بإسم Worm.Win32.Mydoom.m بعد الفحص الذي أجرته كاسبرسكي لاب عليه.

الملف المرفق الذي بإمتداد “EXE” والمؤطر باللون الأحمر عبارة عن برنامج خبيث
لا تقتصر أشكال الرسائل الإلكترونية غير المرغوب فيها على إشعارات فشل التسليم فقط، وإنما يمكن أن تكون أيضا على شكل رسائل مزيفة مرسلة من قبل شركات خدمات أو برامج معروفة.
وتوضح الصور أدناه هذا الأمر حين نرى مثلا أن رسائل البريد الإلكتروني وكأنها مرسلة من إحدى أجهزة شركة HP أو من برنامج jConnect المعروف لدى الناشطين في قطاع الاعمال، اضافة إلى هذا يلاحظ أن هذه الرسائل قد تم إرسالها بإستخدام عناوين شركات حقيقية (@HP_Printer) وليس عناوين البريد العادية المجانية، وهذا ما لا يعطي أي شك أو ريبة لدى موظفي الشركات الذين يقومون بإستلام هذا النوع من الرسائل كون أن هذه الإيميلات في حد ذاتها تكون محل ثقة لإعتقادهم أنها بالفعل مرسلة من شركات أخرى، لكن يبقى وجود مرفق تنفيذي بإمتداد “EXE” هو الشيء الوحيد الذي يثير الشبهة وبالتالي وجب على الموظفين التعامل بشكل حذر وجاد مع هذه الرسائل.

إشعار بريدي مزيف أستخدم فيه إسم شركة HP

إشعار بريدي مزيف أستخدم فيه إسم برنامج jConnect

الملف المرفق الذي بإمتداد “EXE” والمؤطر باللون الأحمر عبارة عن برنامج خبيث
تقول كاسبرسكي لاب أن غالبية الموظفين قد استلموا خلال الربع الأول رسائل مزعجة مشفرة يزعم أنها من بنك سيتي “Citi group” غروب تحمل مرفقات فالت عنها الشركة إنها عبارة عن أحصنة طروادة من نوع PSW.Win23.Tepfer.nblo.
رسائل بريد وهمية من مصادر معروفة!
تشير البيانات إلى أن غالبية رسائل البريد الإلكتروني المزعجة تأتي في صورة مزيفة على شكل إشعارات من شبكات التواصل الإجتماعي أو متاجر إلكترونية أو شركات طيران أوغيرها، وتقول كاسبرسكي لاب أن شركة البيع بالتجزئة الشهيرة وول مارت “Walmart ” هي التي تتصدر حالياً قائمة الشركات التي يجري انتحال علامتها واسمها التجاري واستخدامه من قبل مرسلي الرسائل الإلكترونية والإشعارات الوهمية. حيث تصل هذه الأخيرة في صورة إخطارات تخبر مستقبليها عن مشترياتهم من متجر وول مارت كما هو موضح في الصورة أدناه. لكن الحقيقة أن الروابط التي تحتويها تلك الرسائل تسمح بأخذ هؤلاء المستخدمين إلى مواقع اصطياد تحتوي على برامج خبيثة.

إشعار بريدي مزيف أستخدم فيه إسم متاجر وول مارت، إضافة إلى إدراج روابط مواقع إصطياد في الرسالة
النص العشوائي
على الرغم من أن طريقة النص العشوائي “Random text ” من الحيل القديمة التي جرى استخدامها في الرسائل الإلكترونية المزعجة، إلا انها لا تزال قائمة إلى الآن، حيث يعمد مرسل الرسالة فيها إلى إضافة نص مدرج برابط موقع اصطياد، ويكون النص بنفس لون الخلفية في أسفل الرسالة على أن يتضمن الجزء العلوي منها خبرا سياسيا أو إعلانا لسلعة أو خدمة ما مع صورة بارزة كما هو الحال في الصورة أدناه.

وضع إعلانات وصور بارزة للفت غنتباه المستخدم
يقوم المستخدم بتمرير المؤشر إلى حين الوصول إلى مساحة النص العشوائي أين يؤدي الضغط عليها إلى نقله ودون شعوره إلى موقع اصطياد أو موقع يحتوي على برمجيات خبيثة.

النص العشوائي
نسبة رسائل البريد الإلكتروني المزعجة
اظهرت النتائج أن رسائل البريد الإلكتروني المزعجة مثلت خلال الربع الثاني من هذا العام ما نسبته 70.7 بالمئة، أي بزيادة 4.2 بالمئة عن الربع الأول. كما أنه على الرغم من أن أقل نسبة مسجلة فيما يخص الرسائل المزعجة أو غير المرغوب فيها خلال هذا العام كانت في شهر يناير ب58.3 بالمئة، إلا أن نسبة تلك الرسائل الإلكترونية ارتفعت فيما بعد إلى متوسط 70 يالمئة في كل من باقي الشهور.

نسبة رسائل البريد الإلكتروني المزعجة- الربع الأول والثاني
مصادر رسائل البريد الإلكتروني المزعجة-البلدان
لم يكن هناك أي تغير في مراكز الدول الثلاثة الأولى المصدرة للرسائل المزعجة خلال الربع الثاني من هذا العام، فقد واصلت الصين صدارة القائمة بنسبة 23.1 بالمئة وبإنخفاض 1.2 بالمئة عن الربع الأول. فيما جاءت الولايات المتحدة في المركز الثاني ب16.8 بالمئة منخفضة ب0.9 بالمئة عن الربع الأول، وفي المركز الثالث حلت كوريا الجنوبية بنسبة 12.6 بالمئة، أي بإنخفاض 3 بالمئة عن الربع الأول.
التغير الحاصل خلال الربع الثاني كان في المركز الرابع والخامس الذي جاءت فيه كل من تايوان وفيتنام ب5.6 بالمئة و4.1 بالمئة على التوالي.

التوزيع النسبي لرسائل البريد الإلكتروني المزعجة حسب البلدان
مصادر رسائل البريد الإلكتروني المزعجة-المناطق
إذا لم يكن هناك أي تغيير جذري فيما يخص ترتيب البلدان، فإن الأمر ذاته ينطبق عل المناطق والأقاليم الجغرافية، حيث جاءت آسيا في المركز الأول كأكبر المناطق التي تنشأ منها الرسائل الإلكترونية غير المرغوب فيها بنسبة 56.3 بالمئة، بينما جاءت أمريكا الشمالية في المركز الثاني ب18.2 بالمئة، أما منطقة الشرق الأوسط فقد كانت مصدراً لما نسبته 1.8 بالمئة من مجموع الرسائل الإلكترونية المزعجة خلال الربع الثاني من هذا العام.

التوزيع النسبي لرسائل البريد الإلكتروني المزعجة حسب المناطق
رسائل البريد الإلكتروني حسب الحجم
يمكن الإشارة إلى أن غالبية رسائل البريد الإلكتروني المزعجة ذات حجم صغير جداُ، حيث أن ما نسبته 73 بالمئة منها لا يتجاوز 1 كيلوبايت. لكن هذا لم يمنع من تسجيل إرتفاع طفيف بنسبة 0.94 بالمئة في الرسائل الإلكترونية التي يتراوح حجمها بين 50 و100 كيلوبايت خلال الربع الثاني من العام الحالي، ويعكس الحجم الكبير لهته الرسائل بالدرجة الأولى المرفقات والبرمجيات الخبيثة التي تحتويها.

حجم رسائل البريد الإلكتروني المزعجة- الربع الاول والثاني
المرفقات الخبيثة في رسائل البريد الإلكتروني المزعجة
مثلت رسائل البريد الإلكتروني ذات المرفقات الخبيثة في الربع الثاني ما نسبته 2.3 بالمئة من اجمالي حركة البريد الإلكتروني، منخفضة بالتالي ب1 بالمئة عن ما كانت عليه في الربع الأول من العام الحالي. وقد كان البرنامج الخبيث الأكثر انتشاراً عن طريق البريد الإلكتروني هو تروجان Spy.HTML.Fraud.gen والذي يستخدم لسرقة المعلومات المالية للمستخدمين من خلال ظهوره على أنه صفحة HTML تكون في شكل استمارة وهمية لتسجيل معلومات شخصية تخص الخدمات المصرفية عبر الشبكة.
ثاني البرمجيات الخبيثة من حيث الإنتشار خلال الربع الثاني كانت دودة البريد الإلكتروني Worm.Win32.Bagle.gt، والتي بإستطاعتها أن ترسل نسخ منها إلى كل من العناوين وجهات الإتصال لدى المستخدم، إضافة إلى تلقيها أوامر بتثبيت برامج ضارة أخرى من الخادم المتحكم.
في المركز الثالث كان تروجان Spy.Win32.Zbot.lbda الذي يعتبر أحد البرمجيات الخطيرة كونه أنه نسخة معدلة من برنامج Zeus. وبطبيعة الحال فإن هذا التروجان يرسل عبر البريد الإلكتروني وهو مصمم لسرقة أنواع مختلفة ومحددة من المعلومات، بما في ذلك بيانات البطاقات الإئتمانية.

المرفقات الخبيثة في رسائل البريد الإلكتروني المزعجة
كما تجدر الإشارة إلى أن 40 بالمئة من البرمجيات الخبيثة التي أرسلت عبر البريد الإلكتروني هي في نهاية المطاف برمجيات مصممة بالدرجة الأولى لسرقة معلومات شخصية وبيانات مالية من المستخدمين.
الدول المستهدفة من قبل الرسائل الإلكترونية الخبيثة
شهدت قائمة الدول المستهدفة من قبل الرسائل الإلكترونية الخبيثة خلال الربع الثاني بعض التغييرات مقارنة بالأشهر الثلاثة الأولى من العام الحالي.
أظهرت النتائج التي كشف عنها برنامج مكافحة الفيروسات الخاص بالبريد الإلكتروني والمعطاة بالنسب المئوية إلى أن الولايات المتحدة الأمريكية لا زال تتربع على صدارة قائمة الدول المستهدفة من قبل رسائل البريد الإلكتروني التي تحمل مرفقات خبيثة بنسبة 12 بالمئة.
جاءت روسيا في المركز الثاني بنسبة 11.9 بالمئة في قائمة أكثر الدول إستهدافاً، بينما إنتقلت ألمانيا من المركز الثاني خلال الربع الأول إلى المركز الثالث في الربع الثاني، حيث كانت نسبة استهدافها ب9.3 بالمئة.
لم يتغير الوضع في الربع الثاني بخصوص كل من الهند وأستراليا التي حلتا في المركز الرابع والخامس وبمعدل استهداف 5.6 بالمئة و5.4 بالمئة على التوالي.

التوزيع النسبي للدول المستهدفة
الإصطياد
مما لا شك فيه أنه يجري استخدام الرسائل الإلكترونية المزعجة بهدف الإحتيال والنصب على المستخدمين. من جانب آخر فإن أهم طرق الإحتيال تتمثل في تقنية الإصطياد “Phishing” بإستعمال مواقع وهمية مختلفة.
تشير بيانات كاسبرسكي لاب إلى تنوع روابط أو إشعارات المواقع الوهمية التي يتم إدراجها في رسائل البريد الإلكتروني المزعجة، وتأتي في مقدمة تلك المواقع طبعا الشبكات الإجتماعية، حيث يتم تقليد محتواها في رسائل البريد بهدف الإصطياد بنسبة 34.23 بالمئة.
جاءت رسائل الإصطياد الإلكترونية المقلدة سواء لمحتوى أو إشعارات المؤسسات والبنوك المالية في المركز الثاني وبنسبة 15.40 بالمئة، بينما تأتي محركات البحث في المركز الثالث بنسبة 15.28 بالمئة.

التوزيع النسبي للشركات والشبكات التي يجري محاكاة إشعارات ومواقع الإصطياد عليها وإرسالها عبر الرسائل الإلكترونية

إشعار مزيف لخداع المستخدم أنه من بنك “Bank of America”
من خلال الصورة أعلاه يلاحظ أنه تم إرسال هذه الرسالة على شكل رسالة إشعار من بنك “Bank of America”. وعلى اعتبار أن الرسالة مزيفة وغير مرغوب فيها فإنها قد لا تثير أية شكوك بالنسبة للمستخدم، لولا المرفق أو الأخطاء الكتابية المدرجة بين قوسين في نص الرسالة.
توصية
تبقى رسائل البريد الإلكتروني غير المرغوب فيها اليوم من بين أحد أهم الخيارات المتاحة أمام القراصنة والمتطفلين، كون أن هذه الرسائل ترتكز في المقام الأول على موضوع الهندسة الإجتماعية “Social engineering”، فهؤلاء القراصنة يستثمرون في نقاط ضعفنا وسذاجتنا في التعامل مع تلك الرسائل وبالتالي وجب علينا نحن كمستخدمين أن نغير من أسلوبنا وطريقة إستخدامنا لأدوات وتقنيات البريد الإلكتروني، إضافة إلى تطبيقنا لمفهوم الحماية الإستباقية واتخاذ خطوات إحترازية كعدم النقر العشوائي والمباشر على الروابط مجهولة المصدر وفتح الملفات المرفقة من الرسائل من دون فحصها أو التأكد من هوية المرسل.