一、本季度重点关注
1.1 Amazon Prime
在第三季度,我们发现了许多与Amazon Prime相关的欺诈邮件。其中,大部分网络钓鱼邮件都包含一个伪造的Amazon登录页面链接,声称提供更低的价格、提供购买商品的奖励或通知会员相关的信息等。9月是网络购物的旺季,在这样的背景下,我们看到钓鱼邮件呈现出这样的趋势,也是非常正常的。
除此之外,诈骗者还使用了另外一种欺诈手段,他们发送一封电子邮件告知受害者说其取消Amazon Prime的请求已经通过,但如果用户改变主意,可以拨打某个号码。不知情的用户在收到这样的消息后可能会担心自己的帐号遭到攻击者入侵,从而拨打邮件中的这个号码。在拨打号码后,用户可能会遭遇大额的经济损失,或者被攻击者诱导泄露机密数据。
1.2 攻击者收集文件和自拍照片
本季度,我们发现与盗窃文件和自拍照有关的欺诈行为出现明显增长的趋势,这类文件或照片主要用于注册环节,作为身份证明使用。在仿冒成支付系统和银行的钓鱼电子邮件中,攻击者往往会要求用户在精心制作的页面上输入特定内容,并上传带有ID证件的自拍照来确认其身份。这些伪造的网站看起来非常具有迷惑性,网站上提供了一个包含格式要求的详细文件清单,同时还包含指向隐私策略、用户协议的链接等内容。
一些攻击者甚至没有太认真地设计其仿冒的网站。例如,在今年夏天,一些意大利用户遭到了垃圾邮件攻击,攻击者发送了关于获得智能手机赠品的电子邮件。邮件中声称,用户如果希望获得奖品,必须要将身份证件的图片和本人自拍照发送到指定的电子邮件地址。为了促使潜在受害者尽快回复,攻击者在邮件中还声称该赠送活动将会很快结束。
为了获得文档的副本,攻击者还伪造成虚假的Facebook通知信息,告知收件人由于有用户投诉了某些帖文,因此限制了对其帐户的访问。要避免帐户被删除,用户必须要回复电子邮件,提供自拍照或驾驶证等身份证件的扫描照片,或者提供医疗保险的详细信息。
1.3 YouTube和Instagram
攻击者继续在新平台上利用传统的攻击思路,这种情况在本季度尤其明显。例如,出现了YouTube广告的形式,声称观众可以有机会轻松赚取大量金钱。该视频向用户进一步解释说,组织者必须对观众的身份进行详细调查,因此需要观众提供个人的详细资料,然后才能得到付款或礼品。为了加强可信度,攻击者还在视频下方刷了虚假的评论,以此营造出有许多成功获奖的客户。值得关注的是,由机器刷出来的评论并不是集中发布的,而是连续不断地发出。
用户所需要做的就是点击视频下方的链接,然后按照视频说明中的步骤进行操作。当然,如果要获得奖励,用户首先需要支付少量的手续费,或者是用于确认帐户的付款。
同样,在Instagram上也运行着类似的攻击方案。攻击者以各种知名人士的名义,发布广告帖子,邀请粉丝参加付费的调查以赢取奖励或从参加抽奖。在Instagram上,没有针对知名人士的蓝色对勾标识,因此用户通常难以区分是否为虚假的帐户。与在YouTube上发布的视频一样,这类帖文下方有大量的虚假评论。考虑到明星们经常会组织这样的活动,因此一些没有认真观察的用户很可能就会中招。
1.4 攻击活动重返校园
在第三季度,我们观察到一系列与教育相关的攻击。网络钓鱼的攻击者精心模仿高校网站的登录页面,并利用这一伪造页面试图骗取学生和教师的个人帐户用户名及密码。
在此类攻击中,攻击者并不是为了获得经济利益,而是在寻找学术研究的论文,以及可能保存在服务器上的任何个人信息。在暗网市场上,对这类数据的需求非常高。甚至看上去没有用的数据也可以被网络犯罪分子用来开展有针对性的攻击。
要创建网络钓鱼页面,攻击者可以入侵合法资源站点,并在上面发布欺诈性内容。在第三季度,网络钓鱼攻击者入侵了学校的网站,并在网站上创建了虚假的页面,以模仿常用资源的登录表单。
攻击者还试图窃取教育服务提供商的邮件服务器用户名和密码。为此,攻击者发送了网络钓鱼邮件,伪装成“支持服务通知”,要求收件人确认邮件帐户确实属于本人。
1.5 苹果新产品发布
9月,苹果发布了其最新产品,与往常一样,新产品的发布也会获得攻击者的关注。我们在本季度的邮件流量中检测到一些网络钓鱼电子邮件,其目的是窃取Apple ID身份验证数据。
攻击者还发出垃圾邮件,诈称提供新版本的免费测试,从而收集用户的个人数据。
在新产品发布的前夕,用户尝试打开与苹果品牌相关的假冒网站的次数有所增加,这一数值在苹果产品发布时达到了顶峰:
1.6 对付费电视用户的攻击
在英国,用户在收看电视或实时广播时需要支付许可费。攻击者利用这一点,发送了大量邮件,声称用户的许可已经到期,并提供关于续订的信息。并且,这类钓鱼邮件通常会使用固定的模板,声称由于银行拒绝付款而无法续签收视许可。
随后,电子邮件要求收件人点击链接以验证(或更新)其个人信息或付款详细信息,链接会指向一个攻击者精心设计的表格。
1.7 借助网站反馈表单来发送垃圾邮件
在大型公司的网站上,通常都会有一个或多个反馈表单。用户可以在这些表单上提出问题、提交建议、注册公司组织的活动,或订阅新闻通知。但是,从网站上申请的用户,可能不仅仅是客户或感兴趣的访客,也有可能会是攻击者。
这种攻击方式本身并没有发生变化,但是值得关注的是,我们可以看到借助表单来发送垃圾邮件的机制是如何发展的。以前的垃圾邮件发送者通常会以反馈表单所属的公司作为目标,但现在我们看到,攻击者利用反馈表单将垃圾邮件发送给外部人员。
之所以攻击者这样做,是因为一些公司对于网站的安全性没有给予应有的重视,这使得攻击者可以借助脚本来轻松绕过CAPTCHA测试。另外一个漏洞在于,有些网站的“用户名”字段可以接受任何文本或链接。这使得被填写邮箱地址的受害者会收到本应合法的邮件,但在邮件中却包含攻击者自定义的消息内容。而这样的消息内容,并非是该公司主动发送的。
这类垃圾邮件的数量在几年前就开始激增,而在最近变得越来越流行。在第三季度,通过反馈表单传递垃圾消息的案例在广告邮件中占据了一定的比例。
1.8 对企业电子邮件的攻击
在上个季度,我们观察到了一起大规模的垃圾邮件恶意活动,其中攻击者发送了伪装为语音邮件通知的电子邮件。邮件中表明,收件人需要单击(网络钓鱼)链接才能收听语音消息,该链接指向的网站模仿了流行的Microsoft服务登录页面,一般都是登录Outlook或登录Microsoft帐户的页面。
这类攻击专门针对企业邮箱用户,因为各种商务软件产品都允许发送语音消息,并且会通过电子邮件的方式将新消息通知给用户。
值得注意的是,最近专门针对企业特定部门的垃圾邮件攻击数量已经大大增加。网络攻击者正致力于尝试登录员工的电子邮件帐户。
另外一个攻击者使用的常见技巧,是通知收件人电子邮件正卡在传递队列中。攻击者会诱导收件人接收这些“可能无法传递的消息”,系统会提示受害者点击链接,并诱导收件人在另一个仿冒的登录页面上输入企业帐户和密码,然后直接从这个仿冒页面将信息提供给网络攻击者。在上个季度,我们的产品阻止了许多这种类型的大规模垃圾邮件活动。
二、垃圾邮件的季度统计数据
2.1 垃圾邮件在邮件流量中的占比
2019年第二季度和第三季度,垃圾邮件在全球邮件流量中所占份额:
在2019年第三季度,垃圾邮件占比最高的月份是8月(57.78%)。垃圾邮件在全球邮件流量中平均占比为56.26%,与上一季度相比下降了1.38个百分点。
2.2 垃圾邮件来源国家/地区统计
2019年第三季度,垃圾邮件来源按国家/地区分类统计:
排名前五的垃圾邮件来源国家与上一季度相同,只是各国本季度所占的比例与上季度相比略有不同。中国位居第一(20.43%),其次是美国(13.37%)和俄罗斯(5.60%)。排名第四的是巴西(5.14%),排名第五的是法国(3.35%)。德国在本季度则排名第六(2.95%),紧随其后的分别是印度(2.65%)、土耳其(2.42%)、新加坡(2.24%)和越南(2.15%),后面的这些国家相差小于0.5个百分点。
2.3 垃圾邮件大小统计
2019年第二季度和第三季度,垃圾邮件大小统计:
在2019年第三季度的所有垃圾邮件中,较小的电子邮件(小于2KB)占比下降了4.38个百分点,达到了82.93%。大小为5-10KB的电子邮件所占比例与上一季度相比略有增长(增长1.52个百分点),达到3.79%。
同时,10-20KB的电子邮件所占比例上升了0.26个百分点,达到了2.24%。20-50KB的电子邮件占比变化更为明显,增长了2.64个百分点,达到4.74%。
2.4 恶意附件统计
2019年第二季度和第三季度,邮件反病毒触发次数统计:
在2019年第三季度,我们的安全解决方案共监测到48089352个恶意电子邮件附件,比第二季度增加了近500万。7月是最为活跃的月份,产生了1700万邮件反病毒告警,而8月是最为平静的月份,减少了近200万数量的恶意附件。
2019年第三季度排名前10的电子邮件恶意附件:
在第三季度,最为流行的邮件恶意附件是Office恶意软件Exploit.MSOffice.CVE-2017-11882.gen(7.13%),第二名是Worm.Win32.WBVB.vam蠕虫(4.13%),第三名是针对Microsoft Office用户的另一种恶意软件Trojan.MSOffice.SAgent.gen(2.24%)。
2019年第三季度排名前10的恶意软件家族:
再来看看恶意软件家族的排名情况,本季度Backdoor.Win32.Androm(7.49%)排名第一。其次是Exploit.MSOffice.CVE-2017-11882.gen(7.20%),第三名是Worm.Win32.WBVB.vam(4.60%)。
2.5 恶意邮件目标国家统计
2019年第三季度,触发邮件反病毒按国家/地区统计结果:
在2019年第三季度,德国触发邮件反病毒的次数位列第一,其占比提升了0.31个百分点,达到10.36%。越南的排名有所上升,位居第二(5.92%)。巴西位居第三,与前一名相比仅有微弱的差距。
三、网络钓鱼的季度统计数据
在2019年第三季度,反网络钓鱼系统共阻止了105220094次试图将用户重定向到欺诈网站的尝试。在全球范围内使用卡巴斯基产品的用户中,被攻击的用户占到了用户总数的11.28%。
3.1 地理位置统计
在2019年第三季度,委内瑞拉是受到网络钓鱼攻击用户占比最高的国家(30.96%),该国在第二季度排名第二,本季度增长了5.29个百分点。
2019年第三季度网络钓鱼攻击的地理位置分布:
与第一名相比,希腊落后3.53个百分点,因此位居第二(22.67%)。与上一季度相同,巴西位居第三(19.70%)。
各国遭受网络钓鱼攻击用户占比排名如下:
委内瑞拉 30.96%
希腊 22.67%
巴西 19.70%
洪都拉斯 17.58%
危地马拉 16.80%
巴拿马 16.70%
澳大利亚 16.18%
智利 15.98%
厄瓜多尔 15.64%
葡萄牙 15.61%
*上述统计数据,是在该国所有卡巴斯基用户中,触发反网络钓鱼系统的用户占比。
3.2 遭受攻击的组织分布
遭受网络钓鱼攻击的组织分布统计,是基于用户计算机上反网络钓鱼组件的触发次数而决定。每当用户尝试打开网络钓鱼页面,即通过单击电子邮件或社交媒体消息中的链接打开恶意页面时,将会触发反网络钓鱼组件,会在浏览器中弹出一条提示,警告用户相关的潜在威胁。
自今年以来,本季度针对互联网类型组织的攻击占比(23.81%)首次超过了针对信用组织的攻击占比(22.46%)。社交网络(20.48%)占比位居第三,增长了11.40个百分点。
2019年第三季度遭受网络钓鱼攻击的组织类别分布:
此外,政府和税收组织此次没有占据前10名的位置,它的位置由金融服务类别取代。金融服务类别是指在金融领域提供服务的企业(不包含银行、支付平台),这些公司包括保险、租赁、经纪代理等服务提供商。
四、总结
本季度,垃圾邮件在全球邮件流量中的平均占比(56.26%)下降了1.38个百分点。与上一季度相比,尝试重定向到钓鱼页面的次数与2019年第二季度相比下降了2500万,降至1.05亿。
在本季度,垃圾邮件来源国家排名第一的是中国,所占份额为20.43%。我们的安全解决方案阻止了48089352个恶意邮件附件,而Backdoor.Win32.Androm成为了最常见的恶意软件家族,其占比为7.49%。