卡巴斯基:2018年Q3钓鱼及垃圾邮件报告

41yf1sh 观察 2018年11月13日发布
Favorite收藏

导语:我们知道,我们应该保护个人数据的安全,避免在可疑的网站上提交这些信息,从而防止欺诈者对其进行恶意利用。这些数据的泄露,可被攻击者利用来尝试登录账户,实施针对性攻击,或者进行勒索软件活动。

一、本季度重点关注

1.1 垃圾邮件中的个人数据

我们知道,我们应该保护个人数据的安全,避免在可疑的网站上提交这些信息,从而防止欺诈者对其进行恶意利用。这些数据的泄露,可被攻击者利用来尝试登录账户,实施针对性攻击,或者进行勒索软件活动。

在Q3,我们从垃圾邮件通信中截获了大量欺诈性电子邮件。在今年年初,我们已经披露过这类骗局,恶意人士会向用户勒索赎金,其声称如果不支付赎金,就会公开用户的某些“破坏性证据”。在新一轮的钓鱼及垃圾邮件中,包含用户的实际个人数据,包括姓名、密码、电话号码等,诈骗者采取这种方式,尝试让用户相信他们确实掌握了一些特定的隐私信息。垃圾邮件活动分几个阶段进行,诈骗者很可能利用了一系列个人信息数据库。之所以做出这个推断,是因为我们发现,在不同阶段中,所使用的电话号码的数字格式是不同的。

1.png

此前攻击者主要针对的目标是使用英语的用户,但在9月,我们发现了其他语言的一系列邮件,包括德语、意大利语、阿拉伯语和日语。

2.png

欺诈者勒索的金额从几百美元到几千美元不等。为了收取付款,他们注册了多个比特币钱包,并在不同的恶意活动中使用不同的钱包。在7月,发生了17笔比特币交易,总价值超过3比特币(根据当时汇率为18000美元)。

3.png

同样,在Q3,我们监测到针对企业用户的恶意垃圾邮件活动,其主要目标是密码,范围包括浏览器、即时消息、电子邮件、FTP客户端、加密货币钱包等。网络犯罪分子仿造一封商业信函,或者是来自知名公司的通知邮件,将Loki Bot恶意软件隐藏在邮件附件的ISO文件中,尝试使用恶意软件感染受害计算机。

4.png

1.2 针对银行的恶意垃圾邮件攻击

在第二季度,我们发现Necurs僵尸网络的控制者发送带有IQY(Microsoft Excel Web Query)附件的恶意电子邮件。而在这一季度,他们将注意力转向了银行业,并且和以前一样,使用了不常见的恶意邮件文件格式,这一次使用的是PUB(Microsoft Publisher)。这些邮件被发送到不同国家信贷机构的电子邮箱中,PUB文件附件中包含将可执行文件(检测为Backdoor.Win32.RA-based)下载到受害计算机的特洛伊木马程序。

5.png

1.3 新iPhone发布

在Q3末,Apple发布了新一代产品。然而,在此期间,针对一些为Apple提供配件和替换件的小公司的欺诈邮件数量激增。这些欺诈邮件通常包含链接,指向近期刚刚创建的在线商店,这些网站可能仅仅上线一天后就消失。假如用户相信了此类网站,并进行付款或交易,那么其资金就会损失,当然也不会收到货物。

同样,在此期间,一些伪装成Apple、Apple服务的网络钓鱼邮件,以及包含恶意附件的邮件数量略有增加。

6.png

1.4 经典制药垃圾邮件以新形式出现

垃圾邮件发送者一直在寻找方法来绕过邮件过滤器,从而增加恶意邮件的“可传递性”。为此,他们尝试伪造知名公司和常见服务的通知邮件(包括内容和技术方面)。举例来说,他们复制银行和其他通知邮件的布局,并且在用户一定能看到的字段中添加真正的标题。

这种典型的网络钓鱼和恶意广告活动技术在经典的垃圾邮件中被更频繁的使用,例如在提供违禁药物的邮件中,在上个季度,我们监测到伪装成流行社交网络(包括LinkedIn)的通知信息的垃圾邮件,这些消息包含一个虚假的链接,但这个链接并不是要求填写个人信息的网络钓鱼表格,而是直接指向了一家药店的网站。

7.png

采用这种新方法的原因在于,反垃圾邮件解决方案目前已经能够检测到传统形式的垃圾邮件,因此垃圾邮件的发送者开始使用伪装。我们预计,这一趋势在之后将有所增强。

1.5 高校类垃圾邮件

自从今年开学以来,诈骗者对高校网站帐户的兴趣有所增加。根据我们的监测,全球16个国家的131个大学遭到了攻击。网络犯罪分子希望借此来获得个人数据和学术研究成果。

8.png

1.6 求职类垃圾邮件

为了获取个人数据,攻击者抓住了寻找工作的这一环节,他们伪造一些知名公司的招聘页面,并声称提供有诱惑力的职业和薪水,以此吸引受害者填写申请表格。

9.png

1.7 传播方法

本季度,我们再次关注网络犯罪分子如何分发网络钓鱼和其他非法内容。在这里,我们希望揭示有哪些方法越来越受攻击者的青睐,并提醒用户注意。

一些浏览器支持网站向用户发送通知(例如Chrome中的Push API),网络犯罪分子已经注意到了这种技术。他们在与各种合作伙伴进行网络协作的网站上部署,借助弹出的通知,用户会被诱导到“合作伙伴”站点,并且网站上将提示输入一些个人的信息,这些信息最终会被犯罪分子收集。

默认情况下,Chrome会请求为每个站点启用通知的权限。为了促使用户点击允许,攻击者会声称,如果不点击“允许”按钮,将无法再继续加载页面。

10.png

在授予网站显示通知的权限后,许多用户常常会忘记这件事,所以当屏幕上弹出消息时,他们并不清楚这一弹出框的实际来源。

11.png

这里的危险之处在于,当用户访问受信任资源时,是可以显示通知的。这样一来,受害者可能会对消息的来源产生误解,一切都表明弹出的消息来自当前打开的可信站点。举例来说,用户可能会看到关于资金转移、赠品或更优报价的通知,它们通常都指向网络钓鱼网站、在线赌场、虚假赠品网站或付费订阅网站:

12.png

在点击通知后,会进入到一个在线礼品卡生成器,我们在本季度的早些时候介绍过。这种生成器为用户生成流行网络商店的免费礼品卡。但问题在于,为了获得生成的代码,访问者需要进行一定的操作,来证明他们不是机器人自动完成的。而在这里需要进行的操作并不是接收验证码,而是需要转向一系列合作伙伴的网站,参与赠品活动、填写表格、下载资料、注册付费短信邮件等。

1.8 媒体类垃圾邮件

使用媒体资源,是分发欺诈性内容的一种罕见方式,但非常有效。我们以非常受欢迎的WEX加密货币交易所的案例来说明,该交易所在2017年之前使用的是BTC-E的名称。2018年8月,攻击者伪造了虚假的俄罗斯媒体新闻,声称由于内部问题,交易所将其域名更改为wex.ac。

13.png

然而,wex.nz的管理人员很快发布了推文(其推文也会发布在交易所的主页上),表明wex.ac仅仅是一个仿冒网站,同时提醒用户务必注意资金安全,不要将资金转移到仿冒网站上。

14.png

但是,这并没有阻止诈骗者的活动,他们发布了更多有关交易所迁移到新域名的消息,这次是声称将其迁移到了.sc域上。

15.png

1.9 Instagram

在诈骗者用于分发内容的社交媒体平台中,Instagram需要重点关注。在最近,网络犯罪分子开始使用这一平台。在2018年Q3,我们发现这一社交平台中出现许多虚假的美国国税局用户帐户,以及许多声称是巴西知名银行官方账户的虚假账户。

16.png

诈骗者不仅创建了假帐户,并且还尝试攻陷真实的热门账户。今年8月,一波黑客攻击席卷了整个社交网络,网络犯罪分子伪造了一个“帐户验证”的页面,并通过网络钓鱼攻击诱导用户访问,该钓鱼页面声称可以为用户添加一个稀有的“蓝色对勾”身份徽章。

17.png

当诈骗者提供“验证”账户页面时,出现了社交网络原本并不存在的功能:原本只能由平台管理方授予的徽章,现在可以由用户自行在“帐户设置”里面申请。

二、统计:垃圾邮件

2.1 电子邮件通信中垃圾邮件占比

18.png

在2018年Q3,全球邮件中垃圾邮件所占比例的最高值出现在8月份(53.54%)。全球邮件通信中垃圾邮件的平均占比为52.54%,与上一季度相比增长了2.88。

2.2 国家分布

19.png

Q3垃圾邮件的三个主要来源国家与第二季度相同,中国位居第一(13.47%),其次是美国(10.89%)和德国(10.37%)。第四名是巴西(6.33%),第五名是越南(4.41%),阿根廷(2.64%)进入到前十之中。

2.3 邮件大小分布

20.png

在2018年Q3,小于2KB的垃圾邮件占比下降了5.81,为73.36%。与第二季度相比,5-10KB的邮件百分比略有增加(增长0.76),达到6.32%。与此同时,10-20KB的邮件占比下降了1.21,目前为2.47%。20-50KB垃圾邮件的占比基本上保持不变,仅下降了0.49,目前为3.17%。

2.4 邮件附件中恶意软件分布

21.png

根据2018年Q3的监测结果,邮件附件中最常见的恶意软件仍然是Exploit.Win32.CVE-2017-11882,相比上一季度增长了0.76,上升到11.11%。Backdoor.Win32.Androm的比例有所提升,上升到排名第二(7.85%),而Trojan-PSW.Win32.Farei则下降到第三位(5.77%)。第四名和第五名分别是Worm.Win32.WBVB和Backdoor.Java.QRat。

2.5目标国家(地区)分布

22.png

自今年年初以来,触发邮件反病毒的事件数量排名前三的国家没有变化:德国排名第一(9.83%),俄罗斯排名第二(6.61%),英国排名第三(6.41%)。紧接着是意大利(5.76%)和越南(5.53%)。

三、统计:网络钓鱼

3.1 地理位置分布

在2018年Q3,反网络钓鱼系统共阻止137382124次将用户诱导到诈骗网站的尝试,全球Kaspersky用户中有12.1%受到攻击。

在2018年Q3,遭受网络钓鱼攻击的用户比例最高的国家是危地马拉,占比18.97%,与上季度相比增长8.56%。

23.png

第二季度排名第一的巴西这次降至第二名,该国有18.62%的用户在Q3期间受到攻击,与Q2相比上涨3.11。排名第三至第五的分别是西班牙(17.51%)、委内瑞拉(16.75%)和葡萄牙(16.01%)。

24.png

3.2 组织分布

用户计算机上的反网络钓鱼组件触发器能够对攻击者所攻击的组织类别进行分级。没此用户尝试点击电子邮件或社交媒体中的链接时,或用户打开网络钓鱼页面时,它都将被激活。触发组件时,浏览器中会显示一个横幅,警告用户存在潜在的威胁。

与上一季度相同,全球互联网门户网站排名持续走高,其份额增加7.27个百分点,上升至32.27%。

25.png

在这一季度,与财务相关的组织所遭受的攻击,共占全部攻击事件的34.67(下降1.03个百分点),高于全球互联网门户的占比。其中,银行占比18.26%,支付系统占9.85%,网上商店占比6.56%,IT企业占比6.91%。

四、结论

在2018年Q3,全球邮件流量中垃圾邮件的平均占比上升了2.88个百分点,反钓鱼系统阻止到钓鱼网站的重定向超过1.37亿次,比上一季度增加了3000万。

垃圾邮件发送者和网络钓鱼者继续利用热点事件。例如,本季度中新iPhone的发布就引起了很多人的关注。此外,攻击者也在不断探寻分发欺诈内容的渠道,本季度中Instagram活动有所增加,并且我们发现攻击者开始利用来自网站的虚假通知,以及通过媒体资源来传播虚假新闻。

此外,需要关注的是,勒索软件垃圾邮件的覆盖范围不断扩大,并且开始使用受害者的真实个人数据进行勒索。

本文翻译自:https://securelist.com/spam-and-phishing-in-q3-2018/88686/如若转载,请注明原文地址: http://www.4hou.com/info/observation/14484.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论