一、年度数字

1、2019年度，垃圾邮件在邮件流量中占比为56.51%，与2018年相比增长了4.03个百分点。

2、本年度，最大的垃圾邮件来源为中国（21.26%）。

3、在垃圾邮件中，有44%的邮件大小小于2KB。

4、在恶意垃圾邮件中，最常检测到的恶意文件是Exploit.MSOffice.CVE-2017-11882。

5、本年度，我们的反网络钓鱼系统共被触发467188119次。

6、有17%的唯一用户遭遇过网络钓鱼。

二、年度趋势

2.1 利用热点话题

在2019年，攻击者比以往更加活跃地利用重大体育和电影话题作为诱饵，以获取用户的财务或个人数据。攻击者通常会使用电视节目、电影和体育广播的首映，来吸引那些希望观看“非官方”资源来省钱的人们。

搜索“Watch latest X for free”（免费观看X，其中X表示复仇者联盟、权力的游戏、史丹利杯比赛、美国公开赛等）就能够得到指向不同网站的链接，这些网站声称提供这些内容资源。在点击这些资源后，确实可以观看到相应内容，但在播放几分钟之后会突然停止。要继续观看，往往需要按照系统提示，创建一个免费帐户（仅需要提供电子邮件地址和密码）。但是，在点击继续按钮时，该网站要求提供其他认证信息。

在这里，不但包含之前的信息，还包括银行卡详细信息，包括卡片背面的三位数安全代码（CVV）。网站管理员保证不会从卡中扣取资金，只是需要这个数据来确认用户的位置（从而验证是否有权观看内容）。然而，诈骗者并没有继续提供内容资源，而是仅仅将这些信息收入了口袋。

攻击者还使用了一些新型小工具作为诱饵。例如，网络犯罪者创建了模仿苹果官方服务的虚假页面。在苹果公司发布新产品后，这类假冒网站的数量急剧增加。攻击者会诱导用户点击链接，并在仿冒页面上输入其AppleID凭据，而这部分凭据信息就是攻击者的目标。

2.2 利用流行资源

在2019年，诈骗者利用流行资源和社交网络来传播垃圾邮件，并出售不存在的商品和服务，这是攻击者所采取的一种新手段。他们积极利用Youtube和Instagram的评论区，在其中发布广告，广告中包含指向潜在恶意页面的链接。同时，攻击者创建了许多社交媒体帐户，通过评论热门博客作者的帖子来对这些帐户进行推广。

为了增加可信度，攻击者在有关热门话题的帖子上留下了许多虚假评论。随着该帐户持续过的关注，攻击者开始发布一些有关促销的信息。例如，以较低的价格出售品牌商品。受害者在购买后，会收到廉价的仿冒商品，或者压根无法收到任何商品。

另外的骗局与知名人士的Instagram帐户有关。攻击者会伪装成这些明星，要求粉丝填写问卷调查，从而获得现金奖励或参加抽奖的机会。自然，要参加这个抽奖，需要首先支付少量的费用。在网络罪犯收到这笔钱后，这些帐户也就随即消失了。

诈骗者除了通过社交网络上的评论来分发链接之外，他们还会利用Google服务作为另外一种传递方式——通过Google日历来发送会议邀请，或者发送来自Google Photos的通知（某用户共享图片），或者在评论中包含指向虚假促销、调查问卷或赠送礼品的恶意链接。

攻击者还会使用其他Google服务——在欺诈邮件中包含指向Google Drive和Google Storage中文件的链接，垃圾邮件过滤器并不总会发现这些电子邮件。一旦用户点击这些链接，就会打开一个包含广告软件的文件，其中指向钓鱼网站，或指向收集个人数据的表哥所在的另一个链接。

尽管Google和其他企业持续努力保护用户免受诈骗者的侵害，但诈骗者永远都在试图寻找新的漏洞。因此，针对此类攻击方式，用户的最主要防护措施是应该仔细观察来自陌生发件人的邮件。

2.3 恶意交易

在Q1，自动清算所（ACH）的客户在美国境内用于付款的电子资金转账系统成为了攻击者的目标。攻击者会发送有关付款或欠款状态的虚假ACH通知邮件。一旦用户单击链接或打开附件，将会有感染恶意软件的风险。

2.4 购买比特币

诈骗者仍然对加密货币表现出浓厚的兴趣。除了仿冒众所周知的加密货币交易所来提供虚假交易之外，网络罪犯也开始改变思路，以一些可观的汇率来诱导用户选用他们的交易平台，但在过程中窃取用户的数据或金钱。

2.5 加密货币和勒索

在2018年，网络犯罪分子还是通过谎称恶意软件可以危害用户信息的方式来实现对用户的勒索，但在2019年，攻击者开始假借CIA这类机构的名义，发送电子邮件声称用户涉案，或者声称用户涉嫌转发未成年人的色情图片，以此来实现诈骗。

在电子邮件中，诈骗者声称该案件是国际行动中的一部分，该行动已经在全球范围的27个国家中逮捕了2000多名恋童癖嫌疑人。但是，“特工”恰好知道收件人是一个声誉良好的个人，有比较好的信誉，并且如果愿意的话，可以用10000美元的等值比特币作为交换，来修改或者销毁档案。在邮件中，往往还会提供有关受害者的相关信息，以使邮件更加可信，而这部分信息是预先从社交网络和论坛中获取的。对于一些比较关注个人声誉的用户来说，这笔钱是一个相对较小的代价。

当面对类似威胁时，一些公司法人会陷入到更加绝望的处境中。但是，对于他们来说，攻击者并没有利用色情问题进行诈骗。勒索者往往会向其公开的电子邮件地址或通过在线提交的表单中发送消息，向公司勒索比特币。如果不支付相应金额的比特币，攻击者扬言会以公司的名义发送数百万封垃圾邮件。网络犯罪表示，这样会导致Spamhaus项目将该公司的邮件域名识别为垃圾邮件发件人，并会永久拦截从该公司域名发出的邮件。

2.6 对准企业中的特定部门

针对企业中特定部门发动攻击的增长趋势，不仅仅反映在网络勒索的分类中。通过反馈表单来发送垃圾邮件，将会影响许多公司的声誉。在此前，攻击者曾经使用过这类表格来攻击公司员工的邮箱，但在2019年期间，网络犯罪分子发展了他们的手段。

这样一来，如果攻击者发现了网站上的安全漏洞，就可以使用精心制作的脚本来绕过CAPTCHA系统，并通过反馈表单实现大规模的用户注册。攻击者会在“用户名”字段中插入消息文本或链接。这样将导致受害者从合法发件人的来源收到一封注册确认电子邮件，但其中包含来自诈骗者的信息。并且，合法企业往往不会知道这样的攻击情况。

攻击者还会利用向合法邮件列表提供自动通知服务的邮件，攻击者将消息精心伪装为有关新的语音信息或新的电子邮件的通知，但表示邮件在传递队列中被临时阻断。如果要访问这些邮件，员工必须验证自己的身份，这将导致员工的帐户最终会落入攻击者的手中。

诈骗者还设计了新的方法，来诱导毫无防备心的员工泄露公司机密数据。例如，攻击者发送紧急确认公司帐户详细信息或付款信息的电子邮件，并在其中附带一个链接。如果用户点击了这类钓鱼邮件，那么其帐户的身份验证数据将会直接发送给网络犯罪分子。

另一种针对企业部门的攻击使用了一种更加复杂的方案，攻击者试图欺骗电子邮件收件人，以公司管理层的名义要求他们进行绩效回顾，以获得加薪的机会。

这样的消息会伪装成来源于人力资源部门，其中包含详细说明以及指向虚假评估表的链接。但是，在执行这一过程之前，收件人必须输入一些详细信息。在大多数情况下，其中指定的电子邮件地址必须是公司地址。在点击“登录”或“评估”按钮后，输入的凭据将会被转发给攻击者，导致攻击者可以访问业务往来邮件、个人数据以及潜在的机密信息，这些信息可能随后被用于勒索或者出售给竞争对手。

攻击者有一种更简单的方案，会根据公司所使用的服务来发送网络钓鱼电子邮件。最常见的邮件是来自人力资源部招聘平台的虚假通知。

三、统计数据：垃圾邮件

3.1 垃圾邮件在邮件流量中的比例

2019年，垃圾邮件在邮件流量中的占比提高了4.03个百分点，到达了56.51%。

2019年垃圾邮件在全球邮件流量中的占比：

其中，占比最低的记录发生在9月（54.68%），占比最高的记录发生在5月（58.71%）。

3.2 垃圾邮件来源国家分布

与2018年一样，中国在2019年继续保持在垃圾邮件来源国家的第一名。其份额与2018年相比增长了9.57个百分点，显著增长到21.26%。中国仍然领先于美国（14.39%），美国在2019年增长了5.35个百分点。第三名是俄罗斯（5.21%）。

排名第四的国家是巴西（5.02%），位于第五的国家是下降了1.07个百分点后的巴西（3.00%），与前一年基本持平的印度（2.84%）排名第六。越南在上一年度排名第四，但在本年度中降至第七（2.62%）。

德国则从第三名下降到第八名（2.61%，下降4.56个百分点），土耳其和新加坡分别位于第九名和第十名。

2019年垃圾邮件来源国家分布：

3.3 垃圾邮件大小

在2019年，最小的电子邮件占比持续增长，但与前一年相比其增长幅度不大，仅有4.29个百分点，达到78.44%。同时，大小为2-5 KB的电子邮件占比与2018年相比下降了4.22个百分点，达到了6.42%。

2019年垃圾邮件大小分布：

较大电子邮件（10 – 20 KB）的占比变化不大，仅下降了0.84个百分点。但是，还有更多垃圾邮件的大小为20 – 50 KB，这类邮件占比4.50%，增长1.68个百分比。此外，50 – 100 KB大小的电子邮件数量几乎增加了1个百分点，也就是1.81%。

3.4 恶意邮件附件

2019年排名前10位的恶意软件家族：

与前一年一样，在2019年，恶意对象Exploit.Win32.CVE-2017-11882是最常见的恶意软件（7.24%）。该恶意对象利用了Microsoft Office中的一个漏洞，该漏洞允许在用户不知情的情况下执行任意代码。

其次是Trojan.MSOffice.SAgent家族（3.59%），该家族的成员还针对Microsoft Office用户发动攻击。这种类型的恶意软件由包含内置VBA脚本的文档组成，该文档在打开时，会使用PowerShell隐蔽地加载其他恶意软件。

Worm.Win32.WBVB家族（3.11%）从第四名的位置上升到第三名，该家族使用Visual Basic 6便携，并且已经被KSN分类为不信任的可执行文件。

Backdoor.Win32.Androm.gen（1.64%）在上一年度排名第二，本年度下降至第四位。这种歌模块化后门通常用于将恶意软件下载到受害者的计算机上。

Trojan.Win32.Kryptik家族（1.53%）在2019年排名第五。这个家族的分类中，包含一些反模拟、反调试和代码混淆的木马，这些木马往往难以分析。

Trojan.MSIL.Crypt.gen（1.26%）排名第六，而利用PDF将用户引导至潜在危险站点的Trojan.PDF.Badur（1.14%）则升至第七位。

排名第八名的是另一个带有恶意VBA脚本的恶意DOC/DOCX文档——Trojan-Downloader.MSOffice.SLoad.gen（1.14%），该文件可以将勒索软件下载到受害者的计算机上。

排在第9位的是Backdoor.Win32.Androm，第10名是Trojan.Win32.Agent（0.92%）。

3.5 恶意邮件目标国家分布

与2018年一样，德国在2019年位居首位。其份额实际上保持不变，在所有攻击中占据了11.86%（增长0.35%）。俄罗斯和越南并列第二名（5.77%），在上一年俄罗斯同样位居第二，而越南则是从第六名上升到现在的位置。

2019年恶意邮件目标国家分布：

紧随其后的是意大利（5.57%），仅落后0.2个百分点，而阿联酋排名第五（4.74%），巴西排名第六（3.88%），西班牙排名第七（3.45%）。其他排名前十位的国家依次是印度（2.67%）、墨西哥（2.63%）和马来西亚（2.39%）。

四、统计数据：网络钓鱼

在2019年，卡巴斯基在用户计算机上共触发了467188119次反网络钓鱼系统，对网络钓鱼进行了重定向防护。这一数量比2018年减少了15277092次。总共有15.17%的用户遭受到攻击。

4.1 受到攻击的组织

网络钓鱼攻击所针对的组织评级，主要是基于用户计算机上反网络钓鱼系统中启发式组件的触发情况来计算的。在用户尝试通过电子邮件或互联网上的链接访问钓鱼页面的链接时，卡巴斯基会判断该链接是否已经添加到数据库中，针对未添加的链接将会检测所有实例。

网络钓鱼攻击者攻击的组织类别：

与2018年相比，在本报告周期中，攻击占比最高的是银行类别，其占比增加了5.46个百分点，达到27.16%。而去年位居第一的互联网类别排名下降到第二，与去年相比，其占比下降了3.60个百分点，达到21.12%。支付系统仍然排在第三，在2019年的占比为16.67，减少了2.65个百分点。

2019年受网络钓鱼攻击的组织类别分布：

4.2 攻击地理位置分布

遭受攻击用户的国家分布：

委内瑞拉（31.16%）在本年度中占据被攻击用户占比排名第一的位置。

2019年卡巴斯基用户中触发网络钓鱼系统用户所占的百分比分布：

遭受攻击用户占比排名前十位的国家及占比情况如下：

委内瑞拉       31.16%

巴西       30.26%

希腊       25.96%

葡萄牙   25.63%

澳大利亚       25.24%

阿尔及利亚   23.93%

智利       23.84%

留尼汪岛       23.82%

厄瓜多尔       23.53%

法属圭亚那   22.94%

去年排名第一的巴西（30.26%）在今年排名第二，仅下降了1.98个百分点。排名第一的国家是委内瑞拉（31.16%），从去年的第9位升至第一位，增长了11.27个百分点。排在第三名的是新入榜的希腊（25.96%）。

五、总结

在2019年度，攻击者往往会利用电视首映、热度较高的体育赛事和新产品发布等话题作为诱饵，窃取用户的个人数据或金钱。

攻击者正在积极寻找绕过垃圾邮件过滤器的新方式，他们目前正在使用传递邮件的新方法。在2019年，攻击者积极利用各种Google服务以及流行的社交网络（Instagram）和视频托管网站（YouTube）。

网络犯罪分子持续针对金融领域发起攻击，以获取用户个人数据访问权限为目标，或着使用恶意软件感染计算机，或者从受害者的帐户中窃取资金。

2019年的主要趋势是针对企业部门的攻击活动有明显增长。此前，攻击者主要针对普通用户发动攻击，而这一方向的改变无疑会为网络犯罪的策略增加新的复杂性。

本文翻译自：https://securelist.com/spam-report-2019/96527/如若转载，请注明原文地址：