一、季度亮点
1.1 垃圾邮件中的个人数据
我们常说,个人数据就是诈骗犯的棒棒糖,每个人都应该保证个人数据的安全(就是说,千万不要在可疑网站上提交个人数据)。如果犯罪分子得到了你的数据,他们就会用来访问你的个人账户,还会发起针对性攻击和勒索软件攻击。
在第三季度,我们在垃圾邮件中发现了大量的诈骗邮件。我们曾在今年初报告过这种类型的诈骗活动:要挟受害人支付一笔赎金(以比特币支付),否则就公开与受害人有关的“损害性证据”。新一波攻击浪潮中的诈骗邮件包含用户的真实个人数据(姓名、密码还有电话号码),犯罪分子利用这些信息恐吓受害者,让他们相信自己手中握有真实的证据。该诈骗活动分为数个阶段,犯罪分子很可能是利用了多个个人信息数据库。证据就是,在不同阶段的诈骗活动中受害者电话号码的格式是不同的。
以前,攻击目标主要是英语用户,但在9月份我们观察到其它语言的一个大爆发,包括德语、意大利语、阿拉伯语,还有日语。
犯罪分子勒索的赎金从几百美元到数千美元不等。不同的邮件中使用的付款地址(比特币钱包地址)都不相同。在7月份,其中一个钱包收到了17笔交易,交易总额超过了3比特币(以当时的价格计算,约为1.8万美元)。
犯罪分子的比特币钱包收到的交易
还是在第三季度,我们检测到一个针对企业用户的恶意垃圾邮件活动。犯罪分子的主要目的是窃取密码(例如浏览器密码、即时消息应用、电子邮件客户端、FTP客户端以及加密货币钱包的密码等)。为了达到这一目的,犯罪分子将恶意软件Loki Bot封装成ISO文件,附加在邮件的附件中。这种钓鱼邮件看起来类似于商业信函或是来自于可信公司的通知函。
1.2 针对银行业的恶意垃圾邮件攻击
僵尸网络Necurs曾被发现在第二季度分发携带恶意IQY(Microsoft Excel Web查询)附件的垃圾邮件,但现在它已经将兴趣转移至银行业。同第二季度一样,Necurs分发的垃圾邮件中包含另一种非典型的文件格式,这一次是PUB(Microsoft Publisher)格式。这些垃圾邮件被发送到不同国家的信贷机构的邮件地址,其PUB附件中包含用于下载和执行恶意软件的木马下载器(被检测为Backdoor.Win32.RA-based)。
我们观察到Necurs的所有者正越来越多地使用各种技术来绕过安全解决方案,并在恶意垃圾邮件中包含非典型扩展名的附件,以免引起用户的怀疑。
1.3 以新iPhone为主题
在第三季度末尾Apple发布了最新的产品。不出意料地,一波与之有关的垃圾邮件高潮也出现了。这些垃圾邮件伪装成来自中国的“公司”,向用户提供一些Apple的配件或小玩意儿。邮件中的链接通常指向一个新创建的在线商店。不用多说,如果您在这种没准儿第二天就没了的网站上购物,那肯定是钱货两空。
伴随着Apple发布会到来的,还有利用Apple(及其服务)的钓鱼攻击模式的增长,以及携带恶意附件的垃圾邮件数量的增长:
1.4 以违禁药品为主题的传统垃圾邮件的新伪装
垃圾邮件发送者一直在锲而不舍地寻找绕过邮件过滤措施和增加垃圾邮件“可交付性”的方法。为了达成这一目的,他们尝试制作看起来像是来自于知名公司和服务的垃圾邮件(不仅是从内容上,而且是从技术上)。例如,他们照搬了银行等通知服务的邮件布局,并在显眼的位置添加真实的标题。
这种典型的钓鱼技术越来越多地被用在“传统的垃圾邮件”中 – 例如,在那些提供违禁药品的垃圾邮件中。举例而言,本季度我们曾检测到伪装成来自大型社交网络(包括LinkedIn)的通知的垃圾邮件。我们本以为这些邮件中的虚假链接指向的是一个窃取个人数据的钓鱼网站,结果它是一个网上药店。
垃圾邮件发送者开始使用这种新伪装的原因是,它们传统的垃圾邮件类型在很早之前就会被反垃圾邮件系统给识别出来和过滤掉。我们预计这一趋势还会继续增强。
1.5 针对大学
随着新学年的开始,犯罪分子对获得大学网站账户的访问权限的兴趣有所增长。我们观察到针对16个国家的131所大学的攻击活动。犯罪分子不仅仅想要窃取个人数据,还瞄准学术研究成果。
针对大学网站的钓鱼登录页面
1.6 针对求职者
为了获取个人数据,攻击者还会利用求职者的努力。这些钓鱼页面上会提供诱人的工作职位,包括大公司的职位、高额的薪水等等,诱使受害者填写页面上的工作申请表格。
1.7 传播方法
本季度我们继续关注犯罪分子用于分发网络钓鱼和其它非法内容的方法。但这一次我们还想提请注意那些越来越受欢迎并且被犯罪分子积极利用的方法。
1.7.1 诈骗通知
有些浏览器可以让网站向用户发送通知(例如,Chrome中的Push API),这种技术被犯罪分子注意到了。这种技术主要是被那些拥有许多第三方网络合作伙伴的网站开发的。借助这种弹出式的通知,用户们就会被引诱至“小伙伴”的网站,在那里他们被提示输入一些,比如说,个人信息。每引诱一个用户,这些网站的所有者就会得到一个分成奖励。
默认情况下,Chrome要求每一个单独的网站在弹出通知时都需要申请权限,而攻击者为了促使用户授予这些权限,会声称如果不点击允许按钮,页面就无法继续加载。
许多用户在授予网站允许弹出通知的权限后就简单地忘记了这件事。所以当一个消息弹出在屏幕上时,他们往往不知道它是从哪儿来的。
通知往往根据用户的地理位置进行量身定制,并以适当的语言显示
危险在于,这些通知可能在用户访问可信资源时弹出。这会误导受害者信任通知消息的来源:怎么看这个通知都是来自于当前打开的可信资源。举例而言,用户可能会看到关于转账信息、有奖问答或是小赠品的“通知”,而它们通常都会跳转到钓鱼网站、在线赌场或是虚假赠品及付费订阅的网站。
当用户点击通知时打开的网站示例
我们在本季度初曾报告过一个通过点击通知跳转到在线礼品卡生成器的钓鱼活动(该钓鱼活动还可以反向运作:通过在线资源提示用户启用消息推送通知)。这种生成器声称可以为用户提供各大流行电商的免费礼品卡。然而,为了获得这些免费礼品卡,用户必须要通过特殊的链接验证他不是机器人。随之,用户就被重定向至许许多多的第三方合作网站,要么是要求参与有奖问答,要么是填写调查问卷,或者是下载资料,注册付费短信服务等等。
1.7.2 新闻媒体
利用媒体资源来分发欺诈内容并不常见,但非常有效。流行加密货币交易所WEX遭遇到的故事就是一个力证。WEX在2017年之前的名字是BTC-E。在2018年8月份,一些虚假的新闻被插入到了俄罗斯媒体“third tier”的专题报道中,新闻中称由于内部问题,该交易所正在将域名更改为wex.ac:
wex.nz的管理部门很快发推表示(其推文发布在该交易所的主页上),wex.ac只是一个模仿者,并警告用户不要转移资金。
但这并没能阻止诈骗者,他们又发布了更多虚假新闻,称该交易所现在迁移到一个新的域名:wex.sc。
1.7.3 社交网络(Instagram)
在诈骗者用于分发欺诈内容的众多社交媒体平台中,Instagram尤其值得一提。犯罪分子直到最近才开始注意到这个平台。在2018年Q3,我们在该平台上发现了多个假冒的美国国税局(IRS)账号,还有许多假装成巴西银行官方账号的骗子。
Instagram上的假冒IRS账号
诈骗者们不仅自己创建假冒账号,还试图盗取名人的账号:在今年八月份,我们观察到一波Instagram账户劫持的高潮。由于一种“账户认证”的钓鱼攻击,许多账户更换了他们的主人– 诈骗者伪装成Instagram帮助中心的网站,帮助用户申请账户认证徽章(就是那个珍贵的蓝色小勾勾),但要求用户提供登录凭据等信息。
当时Instagram还没有完善它们的账户认证功能:由管理员来决定谁来获得这枚神圣的“徽章”。现在这枚徽章可以直接在账户设置中进行申请了。
二、季度统计:垃圾邮件
2.1 垃圾邮件占全球电子邮件流量中的比例
2018年Q2及Q3,垃圾邮件占全球电子邮件流量中的比例
2018年第三季度垃圾邮件占比的峰值出现在8月份(53.54%)。在全球电子邮件流量中垃圾邮件的平均占比为52.54%,比上一季度增长了2.88个百分点。
2.2 垃圾邮件来源国家的分布
2018年Q3,垃圾邮件来源国家的分布
2018年第三季度垃圾邮件来源国家的前三名和第二季度一样:中国排第一(13.47%),美国排第二(10.89%),德国排第三(10.37%)。巴西排第四(6.33%),越南排第五(4.41%)。阿根廷(2.64%)是第十。
2.3 垃圾邮件的大小分布
2018年Q2及Q3,垃圾邮件的大小分布
在2018年第三季度,垃圾邮件中超小型邮件(最多2KB)的份额下降了5.81个百分点,为73.36%。5-10KB之间的垃圾邮件与第二季度相比略有增长(+0.76个百分点),达6.32%。10-20KB之间的垃圾邮件同样也下降了1.21个百分点,为2.47%。而20-50KB之间的垃圾邮件份额基本保持不变,仅上升了0.49个百分点,至3.17%。
2.4 恶意附件:恶意软件家族的分布
2018年Q3,垃圾邮件中恶意软件家族的前十名
根据2018年第三季度的统计数据,恶意流量中最常见的恶意软件仍然是Exploit.Win32.CVE-2017-11882,其份额与上一季度相比增长了0.76个百分点,达11.11%。Backdoor.Win32.Androm同样有所增长,现在排名第二(7.85%)。Trojan-PSW.Win32.Farei则掉到第三名(5.77%)。第四和第五名分别花落Worm.Win32.WBVB和Backdoor.Java.QRat。
2.5 垃圾邮件目标国家的分布
2018年Q3,垃圾邮件目标国家的分布
第三季度邮件反病毒系统阻止的威胁中排名前三的国家自年初以来未曾发生变化:德国排第一(9.83%),俄罗斯排第二(6.61%),英国排第三(6.41%)。后面是意大利(第四,5.76%)和越南(第五,5.53%)。
三、季度统计:网络钓鱼
在2018年第三季度,卡巴斯基的反钓鱼系统共阻止了137,382,124次将用户重定向至诈骗网站的尝试。全球范围内共有12.1%的卡巴斯基用户遭到攻击。
3.1 攻击地理
2018年第三季度遭到钓鱼攻击的用户比例最高的国家是危地马拉(比上一季度增长了8.56个百分点,达18.97%)。
2018年Q3,钓鱼攻击的地理分布
第二季度的冠军巴西掉到了第二名,本季度该国家遭到钓鱼攻击的用户比例是18.62%(实际上比第二季度还增长了3.11个百分点)。第三和第四分别是西班牙(17.51%)和委内瑞拉(16.75%)。葡萄牙排在第五(16.01%)。
国家 |
%* |
危地马拉 |
18.97 |
巴西 |
18.62 |
西班牙 |
17.51 |
委内瑞拉 |
16.75 |
葡萄牙 |
16.01 |
中国 |
15.99 |
澳大利亚 |
15.65 |
巴拿马 |
15.33 |
格鲁吉亚 |
15.10 |
厄瓜多尔 |
15.03 |
*该国家所有卡巴斯基用户中反钓鱼系统被触发的比例
3.2 攻击目标(企业的类别分布)
遭到钓鱼攻击的目标企业的类别分布是根据用户计算机上的反钓鱼系统的触发次数来统计的。每当用户尝试打开一个钓鱼页面时(可能是点击了邮件中的链接,或者是点击了社交媒体聊天消息中的链接,也可能是恶意软件活动的结果),反钓鱼系统就会被激活。然后浏览器就会显示一个禁止访问的页面,警告用户潜在的威胁。
与上一季度一样,“全球互联网门户网站”类别的企业排在攻击目标榜的第一位,其份额为32.27%(增长了7.27个百分点)。
2018年Q3,遭到钓鱼攻击的企业类别分布
如果粗略地划分出一个“金融”类别,那么唯有这一类别的企业遭受的钓鱼攻击比全球互联网门户网站类别要多。这个临时的类别占了所有钓鱼攻击的34.67%(下降了1.03个百分点):其子类别银行和支付系统分别占18.26%和9.85%(第二和第三);只有子类别在线商店(6.56%)略输给IT公司(6.91%),将第四名拱手相让。
四、结论
在2018年第三季度,垃圾邮件平均占全球电子邮件总流量的52.54%,比上一季度增长了2.88个百分点。卡巴斯基的反钓鱼系统共阻止了超过1.37亿次将用户重定向至钓鱼网站的尝试,比上一季度增长了3000万次。
垃圾邮件发送者和钓鱼攻击者继续利用重大的新闻报道,本季度中的例子是新iPhone的发布。同时,犯罪分子也还在继续寻找用于分发欺诈内容的其它渠道。除了Instagram恶意活动的一个高峰之外,我们还发现了从网站弹出虚假通知以及利用媒体资源散播虚假新闻的恶意活动。
还应该提及的是利用受害者的真实个人数据进行敲诈勒索的垃圾邮件活动扩大了它的攻击范围。