赛门铁克发布十月份垃圾邮件及钓鱼攻击现状报告

日期: 2010-10-24 来源:TechTarget中国

  九月份,垃圾邮件占所有邮件数量的89.4%,与八月份的92.51%相比有所下降。垃圾邮件发送者继续发送含有恶意软件或相关链接的垃圾邮件,其中包括两种主要的攻击,分别是九月初的“这里有您的邮件”攻击以及九月末的假冒LinkedIn的邮件攻击。虽然恶意软件邮件持续困扰互联网,但总体来看,垃圾邮件数量呈现下降的趋势。赛门铁克观察到,这是自2008年关闭McColo以来,垃圾邮件发送数量的最低值。

  在钓鱼攻击方面,该月的钓鱼总数增长了52%,其主要原因是自动工具包生成的钓鱼攻击以及特殊钓鱼网站数量的增长。自动工具包创建的钓鱼网站数量增长了46%。特殊URL攻击则增加了83%,而含有IP域名的钓鱼网站(例如:http://255.255.255.255)数量也增长了35%。Web托管服务则占钓鱼总数的12%,与上个月相比增长了30%。九月份,非英语类钓鱼网站数量上升了17%。在非英语类钓鱼网站中,法语和意大利语类钓鱼攻击持续增加。

  本月热点事件分析:

  2010年9月:垃圾邮件主题分析

  如“垃圾邮件数量下降”部分所提到的那样,出现了大量假冒LinkedIn网站的邮件。上面图表所示排名前十位的垃圾邮件主题中,有三个主题与这一特殊攻击相关。更令人感到惊讶的是,虽然这些主题出现的天数很少,但仍进入了前十位排名。如表中所示,“LinkedIn邮件,2010年9月30日”的主题仅出现了一天,但其规模之大足以使其排到第六位。


  垃圾邮件数量下降

  上图显示了自八月初以来邮件发送及垃圾邮件总量,显著下降的曲线说明了两个重要问题:

  • 与八月份相比,九月份邮件发送总量下降了超过二十七个百分点。
  • 10月3日的垃圾邮件发送总量与三个星期前的9月12日相比,则减少了55%。

  赛门铁克观察到这是自2008年关闭McColo以来,垃圾邮件发送数量的最低值。发送总量下降可能有两个原因,分别是最近spamit.com的关闭以及Zeus团伙被逮捕。然而,如果说McColo的关闭会有什么后果的话,那就是,随着时间的推移,垃圾邮件总量会逐渐恢复。

  虽然垃圾邮件数量大幅度下降,但九月份恶意软件威胁仍在继续。9月9日,用户遭到主题为“这里有您的邮件”的垃圾邮件攻击。


  上图邮件正文所示PDF文件的链接实际上是一个.scr文件的链接,它包含了W32.Imsolk.B@mm恶意软件,这是一种通过移动硬盘传播的群发邮件蠕虫病毒。这种恶意软件还可通过共享文件夹与即时信息进行传播,并试图将文件下载到被侵入的计算机上。

  九月末,一些假冒LinkedIn网站的邮件试图引诱用户安装恶意软件。


  当用户点击链接时,Zeus恶意软件将自行安装到用户的电脑上。成功安装后,这种恶意软件便会搜集有关用户的敏感信息,从而实施进一步的犯罪。出现假冒LinkedIn网站的初次攻击后,赛门铁克还发现了影响其他社交网站的类似攻击。

  垃圾邮件的“黄金”攻击

  不确定的经济形势加上世界各国中央银行的货币政策使一些投资者的目光转向黄金。最近,这种稀缺贵重金属的价格屡创新高,而一些有经济头脑的垃圾邮件发送者则充分利用了这一机会。以下示例中,垃圾邮件发送者发送了以较低价格出售黄金的垃圾邮件。为了进一步吸引用户,这位垃圾邮件发送者甚至为大量买家提供免费礼品。

  最近的数据统计也显示了垃圾邮件发送者对黄金的兴趣。赛门铁克的研究表明,在九月的最后一个星期里,与黄金相关的垃圾邮件数量较八月份的最后一个星期翻了一番。随着黄金价格的持续攀升,垃圾邮件发送者们将继续发送这类虚假信息。

  针对社交类媒体的钓鱼攻击

  九月份,针对社交类媒体的钓鱼攻击约占钓鱼攻击总数的2%。调查发现,这些钓鱼攻击涉及十个较著名的社交网站品牌。其中,大部分钓鱼网站假冒了其中的两个品牌。针对这两个品牌的钓鱼攻击加起来约占所有针对社交类媒体钓鱼攻击总量的95%。在其他八个品牌中,俄罗斯及西班牙品牌各占一个。赛门铁克观察到,针对社交类媒体的钓鱼攻击数量较上个月上升了38%。

  诈骗者通过诸如游戏应用程序及色情等信息,来引诱用户透露自己的敏感信息。在采用游戏应用程序对社交类媒体进行钓鱼攻击的过程中,钓鱼网站通常声称用户获得了巨额奖金,他们需输入登录认证来领取奖金。最常见的游戏是扑克牌。另一方面,色情内容也被当作诱饵。钓鱼者声称只要输入登录信息即可免费浏览色情内容。在其他案例中,提供免费手机通话时间的虚假内容也被用来进行钓鱼攻击。

  九月份值得一提的针对社交类媒体的钓鱼攻击统计数据包括:

  • 约83%的针对社交类媒体的钓鱼网站利用了大约79个免费Web托管服务。其余约17%的钓鱼网站则托管在新创建的恶意域名或被侵入的合法域名上。
  • 钓鱼网站的地理分布大部分位于美国和巴西。
  • 针对社交类媒体的钓鱼网站里出现频率最高的顶级域(TLD)为.com、.net与.org,分别占74%,7%和4% 。
  • 在国家代码顶级域名(ccTLDs)中,巴西的代码顶级域名出现频率最高。
  • 在针对社交类媒体的非英语类钓鱼网站中,葡萄牙语、意大利语及西班牙语类数量最多。最近,还发现了一些使用印尼语、阿尔巴尼亚语和土耳其语的钓鱼网站。

  钓鱼者利用银行传播恶意软件

  最近,钓鱼者试图利用假冒位于美国的某著名银行的网站来发动钓鱼攻击,从而传播恶意软件。该银行所服务的客户是政府雇员、退伍军人及其家属等。

  在向钓鱼网站上的假冒银行登录网页中输入认证信息后,该钓鱼网页声称银行正在实施一项新的登录系统,并说明该系统提供的新功能可以提高用户账户的安全性。该钓鱼网页还声称,这一新系统将使用户的在线体验更安全、更愉快。为了实现上述功能,网页提示用户下载并运行最新的工具。然而,赛门铁克发现,所提供的名为“updatetool.exe”的链接实际上含有Trojan.Webkit!html病毒。

  该钓鱼网页还要求用户升级自己的账户,并提供能够使用新登录系统的个人信息。这样,有了钓鱼网站的帮助,钓鱼者便可以传播恶意软件,同时盗取用户的金融信息。此前的垃圾邮件中也发现了包含类似信息的钓鱼攻击。

  此钓鱼URL的域名注册时间为2010年8月,使用的是该银行拼错的域名(typosquat)。这样,用户在自己的浏览器上输入合法网站地址时就有可能因输入错误而进入该钓鱼网站。

  这些钓鱼网站指向位于全球不同服务器上的多个IP地址,通常出现在很难关闭的快速通量(fast-flux)钓鱼网站上。在该攻击中,很多个钓鱼URL都是通过子域名随机化方式生成的。以下是一些第一个子域名中包含随机数字的示例:

  hxxp://session1000355.*****.com/****/login.jsp/ [域名和品牌名隐去]
  hxxp://session1000373. *****.com/****/login.jsp/ [域名和品牌名隐去]

  大多数情况中,这种生成多个钓鱼URL的过程是在钓鱼工具包的帮助下自动完成的。该域名已被删除,钓鱼网站目前也不再使用。然而,需要用户注意的是,他们将来可能还会遇到类似的其他钓鱼网站攻击。

  针对数字服务品牌的钓鱼攻击

  赛门铁克最近观察到针对位于美国的数字服务品牌的钓鱼攻击。该品牌提供有线电视、互联网与电话服务等多种服务。

  诈骗者将目标对准那些通过网络支付有线电视及互联网账单的用户。钓鱼网站提示用户升级支付信息,从而避免未经授权的登录企图。该网站声称,档案的更新将有助于防止钓鱼攻击。同时,这一网页还进一步表明,为了安全起见,那些未更新的账户将被暂时停用。当然,这些都是诈骗者的手段。如果用户提供了自己的机密信息,诈骗者将会成功地盗取用户的金融信息。与针对互联网服务提供商进行的钓鱼攻击类似的是,诈骗者还会将窃取的信息用于宽带的免费登录中。

  这一钓鱼网页要求用户提供信用卡信息、详细联系信息与社会保障号码。信用信息包括卡号、信用卡有效期以及安全代码。输入认证后,钓鱼网站会重定向到合法网站,表明账单支付已完成。

  该钓鱼网站托管在位于印度Bhopal市的服务器上。URL中所使用域名的顶级域名(TLD)为奥地利语(“.at”)。钓鱼URL中词语的意思表明该网站与在线支付账单相关。以下是一些示例:

  hxxp://***-billing.*****.at/ [域名和品牌名隐去]
  hxxp://billing-***. *****.at/ [域名和品牌名隐去]

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐