以2018年世界杯为主题的恶意邮件来袭

xiaohui 新闻 2018-05-30 15:49:51

95466

导语：2018年俄罗斯世界杯就要在6月14号隆重开幕了，每当这时，全球的目光都会被这个赛事所吸引，当然，其中还包括不少网络攻击者。

2018年俄罗斯世界杯就要在6月14号隆重开幕了，每当这时，全球的目光都会被这个赛事所吸引，当然，其中还包括不少网络攻击者。为了蹭热度，他们已经很早就利用与2018年世界杯为主题的电子邮件来进行垃圾邮件攻击了，比如，攻击者开始在邮件中利用该主题并创建世界杯主题的钓鱼网页。

卡巴斯基实验室的统计数据显示，在比赛门票销售期间，钓鱼网页的数量增加最为迅猛。每次售票时，攻击者都会向用户发送大量垃圾邮件，当用户按着发送的邮件链接来购票时，攻击者会告诉受害者，让他们先在发送过来的国际足联的官网进行注册和登记，以获取相关的赠品。随着世界杯的临近，这类诈骗越来越猖狂，下面就是具体的示例。

发送赢取虚假彩票的通知

与世界杯有关的电子邮件欺诈的主要类型之一是垃圾邮件，攻击者会通知收件人，他们获得了由官方合作伙伴和赞助商（Visa，可口可乐，微软等）以及FIFA（国际足联）共同发布的彩票。

发送赢取虚假彩票的通知邮件

这些垃圾邮件信息包含附件（通常是PDF或DOCX文件），其内容除了对你赢取彩票进行祝贺外，还要求用户将详细的联系方式（姓名、出生日期、家庭地址、电子邮件、电话号码）回复过来，以领取相关奖品。甚至，攻击者有时还要求收件人先提前支付一部分邮资或银行转账费用。

这类垃圾邮件的主要目的是收集用户数据（包括财务信息），并尽可能同时诈骗一些小额资金（邮资或银行转账费用），虽然这些危害并没有太过恶劣，但有一些恶意行为就不能保证如此友善了，比如有些垃圾邮件中还可能包含恶意附件，例如银行木马程序。

带有附加文件的虚假垃圾邮件通知

另一种常见的垃圾邮件欺诈行为主要是关于比赛本身的，比如让用户猜测比赛的结果，如果猜测正确，就会赢得赠品或其他东西。不过前提是，受害者需要在虚假的促销页面上注册并提供电子邮件地址，并像彩票那样，向攻击者发送详细联系方式。这些消息会以FIFA的名义发送，通常来自最近注册的域名。这种攻击方案的主要方法就是不断更新受害人的电子邮件数据列表，以便发送更多的垃圾邮件。

带有机票和旅行赠品的垃圾邮件

垃圾邮件的发送

在这个重要的赛事来临之际，我们不可避免的会受到关于这个主题的很多垃圾邮件，比如足球商品的推销信息，与观赛及各种相关旅游联系的交通和住宿服务的套餐推销。这些商品通常由小型在线零售商提供，他们会出售包括标有FIFA官方标识的玩具，纪念品和文具，以及参与所有团队的足球服。甚至，有一些消息的来源直接显示的是国际足联官方商店。

提供商品的消息样本

不过，还有一些是与足球无关的垃圾邮件。例如，提供医疗产品信息的传统的垃圾邮件，它们也会利用世界杯的噱头来吸引用户的注意。在分析时，研究人员还发现了一些有趣的事情，比如，有些邮件的主题提到了2006年世界杯决赛，所以，可以推测，这个垃圾邮件发送者使用了旧的模板，并忘记更改日期。而且可以肯定的是，它们至少在2006年世界杯期间，进行过类似的攻击。

带有2006年世界杯决赛字样的邮件

利用门票销售实施诈骗

除了销售附带商品的网上商店外，还有很多提供虚假门票和“黑票”的网站。所谓“黑票”指的是有些票贩子利用国际足联规则中的各种漏洞来出售的票，和假门票是不一样的。

黄牛在线销售的门票

然而，FIFA官方规定门票只能在国际足联官网上购买，如果发现有非法销售或转售的情况，那就会处以巨额罚款。所以，那些使用传统手段在赛场外卖票的黄牛党，将会不存在，因为直接从网上购买的门票都带有自己的个人信息，如果持票人的门票信息与入场的身份证件不符，国际足联工作人员有权拒绝其入场。

伪装成FIFA合作伙伴的虚假网站和消息来进行诈骗

窃取银行和其他帐户凭证的最常见方式之一，便是通过让用户点击虚假官网，实施钓鱼攻击。由于大型赛事的合作伙伴，经常为客户组织一定的优惠活动，比如机票馈赠，这就是攻击者利用合作伙伴诱骗用户的出发点。这样的页面看起来非常有诱惑力，如果页面再经过精心的设计，那将是很好的攻击手段。

伪装成一个合作银行的登录页面进行钓鱼攻击

打着馈赠门票的幌子，让受害者在所谓的官网上填写信息

攻击者也试图通过模仿FIFA的官方通知来盗取用户的数据，比如，受害者被告知购票的安全系统已更新，所有个人数据必须重新输入，否则账户将被锁定。如果受害者点击了虚假通知中的链接，那用户的个人数据将会暴露给后台的攻击者。

伪装成FIFA的网络钓鱼电子邮件示例

调查发现，网络攻击者特别热衷于向世界杯的超级商业赞助商Visa的客户下手，并以Visa的名义提供各种奖品。不过要参与该活动，用户需要登录钓鱼网站的链接，并要求他们输入他们的银行卡详细信息，包括CVV/CVC代码。

以Visa名义发送的邮件和钓鱼页面示例

其他攻击手段

除了利用社交工程外，钓鱼攻击者还部署恶意程序追踪用户的个人数据和资金变动。例如，以需要更新Flash Player来查看相匹配信息的名义植入恶意软件。

在某些情况下，攻击者对银行帐户和付款细节完全没有兴趣。例如，攻击者会以FIFA足球视频或游戏为主题，诱惑感兴趣的用户下载。此时，系统会提示用户在钓鱼登录页面上输入Origin平台（美国艺电游戏公司）的帐户凭证。如果受害者的个人资料下已显示有感兴趣的游戏，则网络犯罪分子会更改登录名/密码并将帐户链接到新的电子邮件地址，以便在黑市进行转售。

伪造的Origin登录页面

追踪发现，从5月下旬开始，关于各大航空公司的廉价航班的钓鱼电子邮件数量暴增。除了伪造的足球门票外，还有提供免费机票的抽奖活动。

以大型航空公司名义发送的抽奖活动邮件

诈骗技术还原

为了使伪装的钓鱼网站看起来可信，网络攻击者把带有关键词”world”,”worldcup”,”FIFA”,”Russia”等域名（例如：worldcup2018，russia2018，fifarussia）都进行了注册。即便这样，这些域名如果仔细看（例如，fifa.ucozx.site），则会非常的别扭，因为这是非标准的域名扩展。因此，在大多数情况下，我们可以通过仔细查看电子邮件中的链接或打开网站后的URL，来辨别是否中招了？

有关钓鱼网站的DNS WHOIS数据

同样，为了让用户放松警惕性，网络攻击者还从其他途径购买了大量的SSL证书，而有关认证机构通常是无法验证获得证书的是否真实存在，这意味着攻击者会的钓鱼的网址可以获得HTTPS的开头认证。要发现一个虚假的信息，查看域名的WHOIS数据就足够了。诈骗网站往往是在最近一段时间内注册的，而且他们的所有者通常都是私人。更重要的是，有关业主的详细信息往往是隐藏的。

除了活跃的域名外，卡巴斯基实验室的研究人员还发现了大量的“僵尸”域名，它们都有一个占位符页面，以便在关键时候随时投入攻击。网络攻击者将它们用作备份，如果一个域名被封锁，网站就会移至下一个域名。