企业账户仍是重灾区
2021 年第二季度,企业账户仍然是网络攻击者最诱人的目标之一,为了增加电子邮件中链接的可信度,诈骗者模仿来自流行云服务的邮件。这种技术以前已经使用过很多次了。有关 微软团队会议的虚假通知或查看重要文档的请求通常会将受害者重定向到网络钓鱼登录页面,要求获得公司帐户证书。
网络攻击者还伪造来自云服务的电子邮件,其目的不是窃取账户而是窃取金钱。例如,研究人员看到有关添加到存储在云中的文档的评论的欺骗消息。该文件本身很可能并不存在:链接的另一端是通过投资比特币或类似诱人的报价在网上快速赚钱的常用方法。这类“奖励”通常要求受害者预付一小笔钱,以索取他们不存在的奖励。
除了各种与云相关的电子邮件外,研究人员还拦截了伪装成商业信函并包含恶意软件链接的邮件。特别是,一封威胁采取法律行动的电子邮件声称受害者没有为已完成的订单付款。为了友好地解决这个问题,收件人被要求查看确认订单完成的文件并在某个日期之前结清帐单。据称这些文件可以通过提供的链接获得,并受特殊代码保护。事实上,事实上,受害者被要求下载的文件“Договор №8883987726 от 10.10.2021.pdf.exe”(10.10.2021.pdf.exe的协议#8883987726)的文件是一个名为 Backdoor.Win32.RWS.a的恶意程序。
COVID-19 赔偿欺诈
2021年第二季度,诈骗者继续利用与疫情相关的赔偿这一主题。这一次,大部分以政府机构的名义提供了财政援助。“英国政府”和“美国财政部”准备向所有申请者发放特别补助。然而,试图索取承诺的施舍只会导致金钱损失或银行卡信息泄露。
包括 CVV 代码在内的银行卡详细信息是一伙网络攻击者的目标,他们创建了一个关于为白俄罗斯公民提供社会援助的虚假信息网站。为了使页面看起来正式,诈骗者详细描述了根据申请人的工作和其他条件的支付系统。以白俄罗斯卫生部名义发布的信息公告明确规定了医务人员的支付金额。其他领域的工人被邀请通过点击“获得社会救助”按钮来计算他们应得的奖金。这将访问者重定向到一个带有用于输入银行卡详细信息的表单的页面。
包裹骗局:买一送一
在过去的一个季度里,要求收件人付款的意外包裹仍然是最常见的诈骗伎俩之一。此外,网络攻击者越来越擅长本地化他们的通知:第二季度,多种语言的群发邮件激增。 “邮件公司”开具发票的原因可能是关税和运输成本。当试图支付服务费用时,与赔偿欺诈一样,受害者被带到一个虚假网站,在那里他们不仅可能损失钱财,而且还可能泄露他们的银行卡详细信息。
邮寄的物品是另一个欺诈计划的焦点。一些网站似乎为人们提供了购买他人包裹的机会,这些包裹由于某种原因无法到达预定的收件人。这项“服务”被定位为抽奖——买家只根据包裹的重量支付费用(包裹越大,价格越高),包裹的内容没有被披露。为了找出里面的东西,被遗弃包裹的幸运主人不得不等待它到达指定的地址。但其实,这是不可能的。根据俄罗斯邮政公司的说法,当寄存期限届满时,挂号邮件(包裹、信件、明信片、EMS邮件)会被送到寄件人的地址,寄件人的费用由寄件人承担。如果寄件人在寄存期内没有取回退回的物品,该物品将被视为“无人认领”,并继续保存6个月,之后将被销毁。换句话说,不出售无主包裹。因此,任何购买它们的提议显然都是骗局。
新电影:为不看的乐趣买单
4月下旬,一年一度的奥斯卡颁奖典礼在好莱坞举行。获得奥斯卡奖提名的电影自然会引起公众和网络犯罪的关注。结果出现了一些虚假网站,提供免费观看甚至下载奥斯卡角逐者的机会。在播放了一段视频后,非法电影院的游客会看到电影的几个片段(通常是从官方预告片中截取的),然后被要求支付一小笔订阅费继续观看。然而,在支付“订阅费”后,电影不但没有恢复放映,相反,银行账户信息却被泄漏。
事实上,几乎任何一部大制作电影在正式上映之前,都会出现提供视频或音频内容的虚假网站。卡巴斯基发现了一些假网站,据称正在播放这部热门情景喜剧的特别集《老友记》。想要观看或下载这部期待已久的续集的粉丝们被转到了哥伦比亚电影公司的开机画面。几秒钟后,广播停止了,取而代之的是要求支付一笔象征性的费用。
Messenger 垃圾邮件:WhatsApp新增加了一些功能
在基于短信的垃圾邮件中,研究人员继续观察到常见的技巧来让用户支付少量金钱。例如,受害者被要求进行一项关于 WhatsApp 的简短调查,并向多个联系人发送消息以获得奖品。另一个传统的骗局旨在说服用户他们是一笔可观金额的幸运赢家。两种情况的结局都是一样的:骗子承诺支付一大笔钱,但前提是收到小额佣金。
WhatsApp 于 2014 年被 Facebook 收购。 2021 年初,两家公司的共生关系成为与 WhatsApp 新隐私政策相关的热门话题,WhatsApp允许 Messenger 与其母公司交换用户信息。网络攻击者利用了有关这两家公司的谣言。他们建立了虚假网站,邀请用户与“美丽的陌生人”进行 WhatsApp 聊天。但是当试图进入聊天室时,潜在的受害者登陆了一个虚假的 Facebook 登录页面。
带有指向虚假 WhatsApp 语音消息链接的电子邮件很可能属于同一类别。通过跟踪它,接收者不仅有可能将他们的个人数据交给攻击者,还有可能将恶意软件下载到他们的计算机或手机上。
投资和公共财产诈骗
用最少的努力迅速赚钱仍然是最常见的欺诈类型之一,在2021年第二季度,网络犯罪分子多样化了他们的诈骗手段。电子邮件收件人被邀请投资自然资源(石油、天然气等)或由这些资源保护的加密货币。在更传统的赔偿骗局中,天然气的话题也浮出水面。为了让他们的报价更可信,网络攻击者使用了大公司的品牌。接受投资后,诈骗者及其网站与受害者的钱一起迅速消失。
为了使诈骗变得更加可信,网络攻击者建立了一个虚假的俄罗斯天然气工业股份公司反欺诈网站,在那里他们冒充公司员工,承诺赔偿受害者的损失。网络攻击者声称,支付超过60000卢布的人有权获得赔偿,然而这些攻击并非有针对性。最有可能的是,诈骗者指望用户对他们是否可以要求赔偿感到好奇。当然,尽管宣传免费咨询,但“反欺诈者”的帮助并非没有附加条件。填写表格的“客户”被要求支付一小笔退款费用,之后“顾问”消失了,受害者一分钱也没有补偿。
另一个高收入骗局引用了 VTB 银行的数字资产管理解决方案 VTB Invest 下的客户支付。欺诈者使用银行的标识,为“活跃的银行用户”提供了获得“投资者付款”的机会。填写申请表,注明姓名、电话号码和电子邮件后,潜在受害者看到一条消息,说明他们将收到一定数量的钱。尽管网络攻击者保证不支付佣金,但要收到“付款”,申请人必须提供银行卡详细信息或存入一小笔款项,表面上是为了验证帐户。换句话说,这是一种更高级的诈骗手段。
统计:垃圾邮件
垃圾邮件在邮件流量中的比例
经过长时间的下降后,垃圾邮件在全球邮件流量中的份额在2021年第二季度开始再次增长,平均为 46.56%,比上一个报告期间增加了0.89个百分点。
2021年第一季度和第二季度,垃圾邮件在全球邮件流量中的份额
数据显示,垃圾邮件在全球邮件流量中所占的份额在3月(45.10%)最低,4月(45.29%)略有上升,5月(46.35%)和6月(48.03%)进一步上升,与2020年第四季度相当。
垃圾邮件来源国
前10大垃圾邮件来源国与第一季度相比基本保持不变。俄罗斯(26.07%)仍位居榜首,其份额上升了3.6个百分点,其次是德国(13.97%)和美国(11.24%),它们对全球垃圾邮件流量的贡献略有下降。
2021年第二季度垃圾邮件来源国
荷兰(4.52%)、法国(3.48%)、西班牙(2.98%)分别排在第5、6、7位,前十名中只有前三个国家的排名略有变动:波兰(1.69%)跌出榜单,跌至第11位,日本(2.53%)上升至第8位。巴西(2.27%)仍然排在第九位,而印度(1.70%)排在最后一行。
恶意邮件附件
第二季度,邮件反病毒拦截了34224215个恶意附件,比2021年前三个月减少了近400万个。
2021年第一季度和第二季度,邮件防病毒触发次数
恶意活动的高峰出现在6月,当时卡巴斯基的解决方案屏蔽了超过1200万个附件,而5月是最安静的,只有1040万个附件。
恶意软件家族
在第二季度,来自 Badun 家族的木马 (7.09%) 是垃圾邮件中最常见的恶意附件,其份额增加了 1.3 个百分点。这些伪装成电子文档的恶意程序通常在档案中传播。相比之下,专门窃取凭证的 Agesla Trojans (6.65%) 下降了 2.26 个百分点,并跌至第二位。利用 Windows 任务计划程序的 Taskun 家族 (4.25%) 排在第三。这些木马,如 Badun一样,越来越受攻击者的欢迎。
2021 年第二季度邮件流量中排名前 10 的恶意软件家族
CVE-2017-11882漏洞(4.07%),这是一个深受网络犯罪分子欢迎的方程式编辑器漏洞,其漏洞排名下降至第四位。其次是恶意ISO磁盘镜像(3.29%)。排在第六位和第八位的是Noon 间谍软件木马,可以感染任何Windows版本(2.66%)或仅32位Windows版本(2.47%)。Androm后门(2.55%)排在第七位,而SAgent(2.42%)和Agent(2.11%)家族的恶意文件排在第十位。
2021年第二季度十大恶意附件
垃圾邮件中的前10个附件与恶意软件家族的排名仅略有不同。最具代表性的Agent家族未能进入前十名,但来自Crypt家族(2.06%)的一种木马确实占据了一席之地,它包含了高度混淆和加密的程序。
被恶意邮件攻击的国家
在西班牙,卡巴斯基的解决方案拦截了用户设备上的恶意附件(9.28%),比其他任何地方都多。德国(5.26%)和俄罗斯(5.82%)在第二季度互换了位置,而阿联酋(5.36%)保持第四,其份额几乎没有变化。
2021年第二季度被恶意垃圾邮件攻击的国家
2021年第二季度,在使用恶意附件的用户数量排名前十的国家中,排名更靠后的是越南(4.71%)、墨西哥(4.23%)、土耳其(3.43%)、巴西(2.91%)和马来西亚(2.53%)。
统计数据:网络钓鱼
就网络钓鱼而言,2021 年第二季度相当平静。反网络钓鱼系统检测并阻止了 50398193 次重定向尝试,只有 3.87% 的用户遇到此类网络钓鱼链接。
网络钓鱼攻击的地理分布
按国家/地区被触发反网络钓鱼系统的用户份额来看,研究人员看到巴西(6.67%)重新位居榜首。但与排名第一的以色列(6.55%)和法国(6.46%)相比,它并没有遥遥领先。
2021 年第二季度网络钓鱼攻击的地理分布
顶级域
网络攻击者用来发布网络钓鱼页面的顶级域区域中的传统领导者是 COM (31.67%),ORG 域 (8.79%) 升至第二位,将 XYZ (8.51%) 推至第三位。
2021年第二季度网络钓鱼最常用的顶级域名区域
第二季度网络攻击者中第四大最受欢迎的域名区域是中国的 CN(3.77%),其次是 NET(3.53%)。俄罗斯的 RU (2.98%) 跌至第六位,托克劳的 TK (1.65%) 跌至第八位。
受到攻击的组织
网络钓鱼者所针对的组织的评级基于用户计算机上反网络钓鱼系统中确定性组件的触发。只要卡巴斯基数据库中存在指向这些页面的链接,该组件就会检测用户尝试通过点击电子邮件中或 Web 上的链接打开的所有包含网络钓鱼内容的页面。
自疫情爆发以来,网上商店(19.54%)首次成为网络犯罪分子最常使用的诱饵。全球互联网门户网站(20.85%)成为本季度的领头羊。此外,这两个类别的份额相对于第一季度都有所增加:分别增加了3.77%和5.35%。排在第三位的是银行(13.82%),第二季度上涨了3.78%。
2021年第二季度网络钓鱼者攻击目标组织的分类分布
总体而言,比较受网络攻击者欢迎的组织类别名单自上一季度以来几乎没有变化,除了即时通讯(6.27%)和社交网络(7.26%)的份额几乎持平,网络钓鱼者更喜欢金融服务(2.09%)而不是 IT 公司 (1.68%)
总结
在第二季度,正如研究人员 预期的那样,网络攻击者继续寻找公司帐户凭据并利用 COVID-19 主题。一个奇怪的结论是投资相关活动的激增。然而,总的来说,本季度并没有带来任何惊喜。
正如研究人员所预期的,在第二季度,网络犯罪分子继续寻找企业账户凭证,并利用新冠疫情主题。一个奇怪的结论是投资相关活动的研发者激增。然而,总的来说,这个季度还算平淡。
至于第三季度的预测,对企业部门的网络攻击的份额可能会保持不变。这是因为远程办公已经在市场上站稳了脚跟。此外,新冠病毒主题不太可能从垃圾邮件中消失。如果目前的疫苗接种和赔偿诈骗,诈骗者可以开始利用新发现的病毒株,为他们的骗局增加多样性和现实性。更重要的是,在假期期间,无论疫情是否蔓延, 预计对城际和国际旅行的需求将会增加,这意味着,在购票或预订住宿时遇到虚假网站的风险将会增加。最后,研究人员 可能会在重大体育赛事(例如日本奥运会)期间看到针对游客的攻击浪潮。此类事件总是伴随着主题垃圾邮件。
本文翻译自:https://securelist.com/spam-and-phishing-in-q2-2021/103548/如若转载,请注明原文地址