卡巴斯基2019年Q2垃圾邮件与钓鱼攻击

作者:深信服科技股份有限公司广州办事处 | 国际 2019/09/10 14:23:07 580
文章来源:https://www.anquanke.com/post/id/186130

t01d1bbe2be8efa3eac.jpg  

季度亮点

利用谷歌服务

       在2019年第二季度,犯罪分子积极利用云存储服务(例如Google DriveGoogle Storage)来托管他们的非法内容。背后的原因很简单:不论是对用户还是对垃圾邮件过滤器而言,指向合法域名的链接往往看起来更可信。大多数情况下,这些链接指向的是文本文件、表格、演示文稿等文档,但文档中往往包含指向广告产品或钓鱼网站的链接。

alt

还是在第二季度,犯罪分子还积极利用Google Calendar来发送实际不存在的会议邀请,这些邀请中主办方字段往往会填入钓鱼链接。

alt

欺诈者还会利用Google相册分享照片,并在评论中附上汇款信息和邮箱地址。这是一种古老的骗术:诱以金钱回报,但先索取一定的服务费,然后消失。

alt

用于创建表单和调查表格的Google Forms也被犯罪分子用来窃取个人信息和发送商业垃圾邮件。

针对企业的比特币勒索

       直到最近,加密货币犯罪分子的主要敲诈手段还是sextortion诈骗。然而,他们的注意力也开始从个人用户慢慢转向企业,例如针对企业网站声誉损害诈骗。

这种诈骗手法很简单。犯罪分子向公司的公共邮箱(或者是在线反馈表格)发出敲诈信息,勒索0.30.5个比特币(价值约4200美元),称如果公司拒绝支付,就会向130万个网站的联系人列表发送伪装成该公司的滥用信息,并以该公司的名称向900万邮箱地址发送侵略性垃圾邮件,使得Spamhaus项目将公司的网站识别为垃圾邮件来源并永久过滤。

alt

全球体育盛事

       大型体育盛事不仅吸引了数百万粉丝的关注,还吸引了试图牟利的犯罪分子。在第二季度我们检测到碰瓷2019年欧洲杯巴库决赛的垃圾邮件活动,收件人被邀请参与竞猜比赛的胜者并有机会赢得高达20万英镑的奖金。

alt

       参与竞猜必须要访问邮件中的链接,填入个人信息并预测胜者。这些个人信息随后就可能被用于诈骗或更多的垃圾邮件活动。这种模式还有一个升级版本:一段时间后用户接到通知称他们赢得了竞猜 – 当然领取奖金需要缴纳一小笔费用。

alt

犯罪分子也没有局限于足球迷。第二季度针对高尔夫和曲棍球竞标赛的骗局也差不多,例如斯坦利杯和美国公开赛。

alt

球迷被邀请观看赛事直播,但播放开始一会儿后就会弹窗要求注册后观看:

alt

点击创建账户按钮后,打开的新网页要求提供邮箱地址和创建账户密码:

alt

并且,在填满所有字段并点击继续按钮后,受害者被要求验证账户,当然,这需要填入更多个人信息 – 姓名、银行卡信息等。

alt

       欺诈者声称并不会从受害者的银行卡中扣费,而是由于当地赛事直播的法律法规,必须要对用户的支付信息进行简单验证。然而即使你决定接受这种“验证”,你还是看不到比赛,但你的个人信息和支付数据已经落入欺诈者手中。

全球电视和电影首映式

       正如我们在过去多次提到的,欺诈者相当关注全球热点事件。类似于上一条,我们发现的这个骗局瞄准漫威电影宇宙的粉丝,甚至在复联4正式上映之前:

alt

       第二季度中除了复仇者之外,期待已久的权力的游戏最终季也没有被犯罪分子错过。根据我们的统计,该系列最终季发布的当月提及该剧的欺诈资源增长了4倍。其中一种最常见的骗局是模拟权力的游戏手游兑换码的诈骗活动。

alt

为了获得兑换码,用户必须首先填写表格,指定他们希望在游戏中获得的代币数量。

alt

所有字段都填好后,系统将会进入“兑换码生成”模式,为了尽可能增加可信度,屏幕上会显示连接到服务器等信息。

alt

但兑换码并不会直接显示给用户,除非用户先确认不是机器人访问,这需要点击链接并完成某种任务。

alt

比如说,完成调查表格、参与博彩、提供更多信息(例如电话号码、邮政地址)、订阅付费短信、安装广告软件(可能是更改搜索首页,收集用户的在线活动并且无法删除)等。具体的任务是由合作伙伴网络指定的,这个伙伴可能是用户被重定向到的一个网站。它是基于用户所在国家的语言、当地广告法等选定的。

alt

       结果可以预测到:要么受害者被带到各个合作网站直到他们对填写表格/博彩小游戏厌倦,要么他们会得到一组随机字符,这些字符与真正的兑换码无关,只是模仿了它的格式。

退税

       一年的第二季度是许多国家提交纳税申报单和退税申请的截止日期。犯罪分子利用了这一点以及用户的着急情绪和粗心大意,向用户发送声称获得退税资格的钓鱼邮件(数额较大,足以引起用户的兴趣)。退税的原因写的可能是标准的法律流程或是系统错误。

       一些邮件利用了已知的心理恐慌效果,例如只给予用户较少的决策时间。在一个例子中,伪装成HMRC(英国税务海关部门,即英国税务局)的电子邮件要求受害者必须立刻点击链接并填写表格,而虚假的CRA(加拿大税务局)信件则给予了24小时的时间限制,否则将无法退税。

alt

       此类邮件中链接指向的钓鱼网站通常旨在窃取各种个人信息,包括账户密码、私密问题的答案、近亲的姓名、出生日期、完整的银行卡信息(CVV码)等。在一些例子中,一旦点击链接,一系列操作就必须完成,包括填入基本信息(姓名、社会安全号码),然后是更多细节,最后是银行卡信息。

alt

       除了钓鱼链接之外,犯罪分子也会发送恶意附件,例如试图以紧急修正退税单中的填写错误来欺骗用户打开附件。被检测为Trojan-Downloader.MSOffice.SLoad.gen的恶意文件就伪装成退税单副本,一旦用户授予运行宏的权限,另一个可执行恶意文件即被下载和运行。

alt

       还有一些邮件附件被检测为Trojan.Win32.Agentb.jofi,这是一个提供远程访问功能的多功能后门。它的功能包括键盘记录、窃取浏览器和Windows账户密码、利用摄像头录制音频以及执行C&C的指令等。

alt

针对旅客的钓鱼

       随着暑假的到来,我们注意到针对旅客的钓鱼邮件数量上涨。犯罪分子没有错过任何一方面:提供诱人价格的Airbnb邮件、模拟Booking.com的钓鱼网站,以及虚假的旅游网站等等。

alt

       攻击者也没有忽视航空公司 – 无论是大型航空公司还是小型本地企业。例如,下图是我们检测到的一个钓鱼邮件,通知客户称他们的账户超出了某种限制,要求在24小时内确认其账户数据。

alt

吞下诱饵的人将被重定向到一个虚假网站,用于填写一个“身份验证”表格。这些数据,当然,直接被发给了攻击者。

alt

另一个诈骗邮件类似于一个官方的订票确认,欺诈者在“预订号码”和“查看细节”选项提供了相同的钓鱼链接,连接中当然没有订票信息,而是专用于窃取个人数据的页面。

alt

伪装成来自邮件服务的钓鱼邮件

       旨在窃取邮箱登录凭据的大多数欺诈邮件都伪装成来自邮件服务本身。犯罪分子尽可能增加其钓鱼邮件的可信度:模拟真实对象的发件人地址、正确的logo,以及指向官方资源的链接和签名等。

alt

       邮件正文也很有诚意。通常是先通知收件人账户出现了某种问题,然后是描述需要采取的步骤,最后是要求访问一个链接或是打开附件。为了进一步恐吓受害者,往往还会提及没有在特定的时间区间内采取相应的步骤会导致哪些严重的后果(账户被禁用、删除等)。

alt

       还有一些非典型的骗局:邮件伪装成商业信函(此类邮件通常包含一个恶意附件),正文中可能根本不会提及邮件账户。一旦点击此类邮件中的链接,用户可能会被重定向至一个要求填写完整邮件账户信息以查看文档(实际并不存在)的网站。

统计分析:垃圾邮件

垃圾邮件流量占比

alt

2019Q1-Q2,全球邮件流量中垃圾邮件占比

       2019年第二季度垃圾邮件流量占比最高的月份是5月(58.71%)。本季度垃圾邮件占全球电子邮件流量的平均比例为57.64%,比上一季度增长了1.67个百分点。

垃圾邮件源的国家分布

alt

2019Q2垃圾邮件来源的国家发布

       垃圾邮件来源列表的前几名保持不变:第一名是中国(23.72%),第二名是美国(13.89%),第三名是俄罗斯(4.83%),第四名是巴西(4.62% – 只有第五名与上一季度稍有变化:法国(3.11%)将德国挤出了前五。

垃圾邮件大小

alt

2019Q1Q2,垃圾邮件的大小分布

       在2019年第二季度,超小型垃圾邮件(不超过2KB)的份额为87.31%,与第一季度相比增长了13.33个百分点。与此同时,5-10KB的垃圾邮件下降了4.52个百分点,至2.27%10-20KB的垃圾邮件数量最少,占比为1.98%,与上一季度相比下降了3.13个百分点。20-50KB的垃圾邮件占比为2.10%,上一季度是3%

恶意附件与恶意软件家族

alt

2019Q1 – 2019Q2,邮件反病毒系统被触发的次数

2019年第二季度,我们的安全解决方案共检测到43,907,840个恶意附件,5月份邮件反病毒系统被触发的次数最多,为近1600万次,4月份最为平静,不到200万次。

alt

2019Q2,垃圾邮件恶意附件Top10

       在第二季度,恶意软件Exploit.MSOffice.CVE-2017-11882.gen7.53%)在垃圾邮件流量中出现的次数最高,其次是Worm.Win32.WBVB.vam4.24%)和Trojan.MSOffice.SAgent.gen2.32%)。

alt

2019Q2,垃圾邮件中的恶意软件家族Top10

       在恶意软件家族方面情况有所不同,第一名是Andromeda bot家族8.00%),其成员在恶意软件Top10中只占据了第四和第六。紧随其后的是Exploit.MSOffice.CVE-2017-118827.64%)家族,它是针对Microsoft Office套件的一系列漏洞利用。第三名是蠕虫家族Worm.Win32.WBVB4.74%),它是用Visual Basic语言编写的。

垃圾邮件的目标国家分布

alt

2019Q2,垃圾邮件的目标国家分布

德国继续占据排名的榜首,本季度其邮件反病毒系统触发次数所占份额为10.05%。俄罗斯(6.16%)排在第二名,将越南(5.98%)挤至第三名。

统计分析:钓鱼攻击

       在2019年第二季度,卡巴斯基反钓鱼系统共阻止了129,933,555个将用户重定向至诈骗网站的尝试。全球范围内12.34%的卡巴斯基用户遭到攻击。

地理分布

       2019年第二季度受钓鱼攻击用户比例最高的国家是希腊(26.20%),与上一季度(排在第六名)相比增长了10.34个百分点。

alt

2019Q2,钓鱼攻击的地理分布

       紧跟在希腊后面的是委内瑞拉(25.67%),它从上一季度的第五名上升至第二名,增长了8.95个百分点。巴西排在第三(20.86%),尽管与上一季度相比它只下跌了不到1个百分点,但它上一季度排在第一名。澳大利亚(17.73%)没能获得奖牌,同时葡萄牙(17.47%)排在第五。

国家

%*

越南

26.20%

委内瑞拉

25.67%

巴西

20.86%

澳大利亚

17.73%

葡萄牙

17.47%

西班牙

15.85%

阿尔及利亚

15.51%

智利

15.47%

法国

14.81%

该国家卡巴斯基反钓鱼系统被触发的用户比例

遭受攻击的企业

       本季度信贷组织保持在受攻击企业排行榜的首位 – 针对银行的攻击占比达30.68%,比上一季度增长了近5个百分点。

alt

2019Q2,受钓鱼攻击企业的类别分布

       排在第二的是支付系统(20.12%),全球互联网门户网站(18.02%)排在第三。

结论

       在2019年第二季度,全球垃圾邮件流量的平均占比下降了1.67个百分点,至57.64%。同时卡巴斯基的反钓鱼系统阻止了超过1.3亿个跳转到钓鱼网站的重定向攻击,比上一报告期内增长了1800万。

       垃圾邮件来源国家的第一名是中国,其份额为23.72%。而邮件反病毒系统的检测数量最高的是德国,占10.05%。在整个第二季度,卡巴斯基安全解决方案共检测到43,907,840个恶意附件。垃圾邮件中最常见的恶意软件是Exploit.MSOffice.CVE-2017-11882.gen(占比为7.53%),而最常见的恶意软件家族是Backdoor.Win32.Androm(占比为8%)。

       犯罪分子继续寻找分发垃圾邮件的新方法并且改进旧方法。在第二季度,他们利用流行的Google服务来分发垃圾邮件。敲诈者同样也在尝试新的方法。除了针对普通用户的威胁之外,犯罪分子还尝试敲诈企业,威胁以他们的名称发送垃圾邮件。

       除此之外,欺诈者同以前一样很具有时代精神,他们会将诈骗套路迅速应用于热点事件中。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室