与体育相关的诈骗成为本季度攻击的重头戏
本季度多项国际体育赛事相继开展, 2020 年欧洲足球锦标赛于在6 月至 7 月间举行,随后东京奥运会于 8 月举行,第三季度还举办了几场 F1 大奖赛。对攻击者来说,这些都是可以利用话题,比如想要现场观看比赛的体育迷遇到了假售票网站。一些网站强调门票是“官方的”,但实际收取的票价是门票实际价格的几倍,有些网站更是拿了钱就消失了。
诈骗者还为那些喜欢在家中舒适地在线观看活动的人设置了陷阱,比如出现了提供免费直播的欺诈网站。然而,在点击链接时,用户被要求支付订阅费用。如果这没有阻止他们,他们的钱和银行卡详细信息将直接发送给攻击者,而没有任何现场直播或任何其他类型的广播作为回报。这个攻击手段之前已经使用过很多次了,只不过不是在体育赛事中,而是为受害者提供了最热门的电影和电视版本。
足球视频游戏总是会吸引大批追随者,但这也造成了游戏平台会受到黑客的攻击,尤其是在重大足球赛事期间。因此,攻击者将 2020 年欧洲杯锦标赛用作诱饵,劫持日本游戏巨头科乐美的主要游戏门户网站上的帐户。攻击者为用户提供了与锦标赛有关的巨额奖金。然而,当试图领取奖金时,受害者会登陆一个假的 Konami 登录页面。如果他们输入了他们的凭据,攻击者就会接管他们的帐户,所谓的“奖金”就烟消云散了。
“尼日利亚王子”式的诈骗者也密切关注第三季度的体育赛事。引起我们注意的电子邮件谈到了与奥运会相关的赠品中数百万美元的奖金。为了获得奖品,受害者被要求填写一份表格并将其通过电子邮件发送给攻击者。
世界杯将于2022年11月至12月举行,攻击者们已经开始“赠送”与世界杯相关的赠品。
最有可能的情况是,购买者会被要求支付一小笔定金。
在 2021 年第三季度,卡巴斯基的解决方案阻止了超过 560 万次重定向到网络钓鱼页面。知名品牌周年庆成为攻击者最喜欢的话题,攻击者会伪造宜家、亚马逊、乐购等公司都举办了抽奖活动或关促销信息,然后参与的用户会被要求提供银行卡信息。
在一个持有Perekrestok品牌赠品的虚假网站上,“中奖者”在完成任务后被承诺作为奖励会获得一个二维码,据称可以用来在该公司的商店购物。需要注意的是,Perekrestok确实向客户发放了带有二维码的优惠券;也就是说,网络罪犯试图让电子邮件看起来可信。当试图检索这个代码时,潜在的受害者很可能会被要求支付一笔“佣金”,然后才能使用二维码。
2021 年,冒充 cookie 销售平台的虚假资源数量有所增加。向用户承诺出售此类数据将获得丰厚的金钱奖励(每天最高 5,000 美元)。那些被诱人的报价吸引并点击链接的人被重定向到一个虚假页面,据称该页面“从受害者的设备中读取 cookie 以估计其市场价值”。 “估值”通常在 700 至 2,000 美元之间。如果受害者同意,他们被要求将他们的付款详细信息与系统中的帐户相关联,并充值 6 欧元,攻击者承诺在几分钟内将其连同拍卖收入一起退还。为了补充余额,受害者需要在在线表格中输入他们的银行卡详细信息。
请注意,从你的设备出售 cookie 的想法本身就是有风险的:这些文件可以存储有关你在线活动的机密信息,特别是登录详细信息,让你不必在常用网站上重新输入凭据。
即使在官方移动应用商店中,恶意软件有时也会潜入。因此,本季度出现了一种新的威胁,即可以在此类平台上下载的欺诈性福利支付应用。广告将它们描述为帮助查找和处理用户有权获得的政府付款的软件。确实发现了应付款(当然是假的),但为了收到钱,用户被要求“支付与表格注册相关的法律服务”。申请表下的众多好评,以及模仿真实政府网站的设计,增加了可信度。
邀请收件人联系支持的电子邮件仍然是垃圾邮件的常客。如果说以前这些邮件都是IT主题(Windows问题、电脑可疑活动等),那么最近意外购买、银行卡交易或帐户停用请求的电子邮件数量有所增加。最有可能的是,主题的变化是为了扩大攻击面,有关无意支出和丢失帐户风险的消息比抽象的技术问题更能吓倒用户。然而,诈骗的实质并没有改变,收件人对有关他们没有进行的购买或转账的电子邮件感到困惑,试图按邮件中给出的号码拨打支持服务电话。为了取消所谓的交易或购买,他们被要求提供电子邮件可能来自的网站的登录凭证。这些机密信息直接落入了网络罪犯的手中,使他们得以访问受害者的账户。
新冠肺炎话题
本季度为新冠肺炎依然是攻击者使用的主题,随着全球范围内的大规模疫苗接种计,欺诈者开始“出售”他们自己的疫苗。“客户”首先被要求提供个人信息:护照、电话、医疗保单、保险号码和出生日期,然后输入他们的卡详细信息以支付购买费用。
以慷慨的慈善家和提供封锁补偿的大型组织的名义发送垃圾邮件。
然而,“尼日利亚王子”骗局并不是等待此类消息接收者的全部。例如,利用阿根廷 BBVA 名称的垃圾邮件的作者有不同的目标。邀请用户通过这家银行申请政府补贴。为此,他们必须打开一个 RAR 档案,据称其中包含确认赔偿的证书。实际上,存档中包含我们的解决方案检测到的恶意软件 Trojan.Win32.Mucc.pqp。
攻击者还使用其他常见的 COVID-19 主题来诱骗收件人打开恶意附件。特别是,我们遇到了有关 delta 变体传播和疫苗接种的信息。电子邮件标题是从各种信息源中挑选出来的,很可能是因为它们的有趣性质。所附文件被检测为 Trojan.MSOffice.SAgent.gen,其中包含一个用于运行 PowerShell 脚本的宏。 SAgent 恶意软件用于在攻击的初始阶段将其他恶意软件传送到受害者的系统。
企业隐私
本季度垃圾邮件出现了一种新趋势,目的是窃取公司账户的凭证,攻击者借此对收件人勒索。但是在访问网站查看付款请求时,潜在受害者被要求输入工作帐户登录详细信息。
垃圾邮件
垃圾邮件在邮件流量中的占比
2021 年第三季度,垃圾邮件在全球邮件流量中的份额再次下降,平均为 45.47%,下降了 1.09 %,比第一季度下降了0.2%。
2021 年 4 月至 9 月全球邮件流量中垃圾邮件的份额
7月份,这一指标跌至2021年初(44.95%)以来的最低水平,比上半年最平静的3月份低了0.15%,第三季度垃圾邮件的最高份额出现在 8 月份(45.84%)。
按国家/地区分类的垃圾邮件来源
最大的垃圾邮件来源国家仍然是俄罗斯(24.90%),尽管其份额在第三季度略有下降。德国(14.19%)仍位居第二,而中国(10.31%)本季度升至第三,增加了 2.53 %。与此同时,美国 (9.15%) 下跌 2.09 %,并跌至第四位,而荷兰则保持在第五位(4.96%)。
2021 年第三季度按国家/地区划分的垃圾邮件来源
总体而言,提供大量垃圾邮件的前 10 个国家与第二季度相比几乎没有变化。第六位仍然属于法国(3.49%),巴西(2.76%)增加了 0.49%,超过了西班牙(2.70%)和日本(2.24%),但前 10 名成员保持不变。与上一报告期一样,排名垫底的是印度(1.83%)。
恶意邮件附件
本季度拦截的恶意附件比第二季度更多,卡巴斯基的解决方案检测到 35,958,888 个恶意软件,比上一报告期多出 170 万件。
在本季度,邮件反病毒触发的数量有所增长,最安静的月份是 7 月,研究人员的解决方案拦截了超过 1100 万次打开受感染文件的尝试,而最繁忙的月份是 9 月,拦截了 12,680,778 个恶意附件。
恶意软件家族
在 2021 年第三季度,来自 Agensla 家族的木马 (9.74%) 再次成为垃圾邮件中最普遍的恶意软件。他们的份额比上一季度增加了 3.09%,这些木马旨在窃取受害者设备的登录凭证。Badun 家族由各种伪装成电子文档的恶意软件组成,其份额略有下降,位居第二。 Noon 间谍软件 (5.19%) 位居第三,其 32 位变体 (1.71%) 下降至第九位。与此同时,在 Task Scheduler 中创建恶意任务的 Taskun 家族这次排名第四,尽管其份额略有上升。
2021年第三季度,邮件流量中十大恶意软件家族
在第三季度的十大常见恶意软件中,排名第六的是CVE-2018-0802漏洞(3.28%),这是一个新增加的漏洞。该漏洞影响到Equation Editor组件,就像CVE-2017-11882漏洞(3.29%),在第三季度中排名第五。排在第七位的是恶意ISO磁盘镜像(2.97%),第八位是Androm后门(1.95%)。
第三季度最普遍的10个电子邮件恶意软件与其恶意家族排名相似,唯一的区别是Trojan-PSW.MSIL.Stealer.gen排在了第九位。
2021年第三季度垃圾邮件中十大恶意附件
被恶意邮件攻击的国家
在第三季度,西班牙用户的电脑上最常触发邮件反病毒。与上一个报告期间相比,这个国家的份额再次略有增长,达到9.55%。俄罗斯排名第二,在7月至9月被屏蔽的所有邮件附件中占6.52%,意大利(5.47%)位居第三,其市场份额在第三季度继续下滑。
2021年第三季度被恶意邮件攻击的国家
巴西(5.37%)上升了2.46%,按邮件反病毒触发次数上升到第四位。其次是墨西哥(4.69%)、越南(4.25%)、德国(3.68%),阿联酋(3.65%)跌至第八位,土耳其(3.27%)和马来西亚(2.78%)也在十大目标之列。
网络钓鱼
在第三季度,反钓鱼系统阻止了 46,340,156 次打开钓鱼链接的尝试,共有 3.56% 的卡巴斯基用户遇到了这种威胁。
网络钓鱼攻击的地理分布
巴西受影响用户的比例最大(6.63%),前三名还包括澳大利亚(6.41%)和孟加拉国(5.42%),以色列(5.33%)从第二跌至第五,让位给卡塔尔(5.36%)。
2021 年第三季度网络钓鱼攻击的地理分布
顶级域名
与以前一样,第三季度最常用于托管网络钓鱼页面的顶级域是 COM (29.17%),第二名是XYZ(14.17%),其市场份额比上一季度增长了5.66%。ORG(3.65%)下跌5.14%,跌至第五位,中文域名CN(9.01%)和TOP(3.93%)排名都非常靠前。
2021年第三季度最常用于网络钓鱼的顶级域名
遭受网络钓鱼攻击的组织
钓鱼攻击者对组织的评级是基于在用户计算机上的反钓鱼系统中的确定性组件的触发,只要卡巴斯基数据库中存在与这些网页的链接,该组件就会检测用户试图通过电子邮件或网络上的链接打开的所有带有钓鱼内容的页面。
攻击者经常使用著名互联网门户网站(20.68%)作为诱饵,紧接着是在线商店(20.63%),与上一季度一样,银行排名第三(11.94%),支付系统排名第四(7.78%),第五和第六名分别是“社交网络和博客”(6.24%)和“即时消息”(5.06%)。
排在第七位的是网络游戏(2.42%),接下来是金融服务 (1.81%)、IT 公司 (1.72%) 和电信公司 (1.45%) 位列榜首。
即时通信中的网络钓鱼
在 2021 年第三季度,卡巴斯基安全解决方案阻止了 117,854 次尝试通过各种即时通信工具来对攻击者发起网络钓鱼,其中 106,359 个链接 (90.25%) 在 WhatsApp 消息中被检测到并被阻止。在所有检测到的链接中,Viber 占 5.68%,Telegram 占 3.74%,Google Hangouts 占 0.02%。
2021 年第三季度WhatsApp上的网络钓鱼活动动态
2021 年第三季度Telegram 上的网络钓鱼活动动态
本文翻译自:https://securelist.com/spam-and-phishing-in-q3-2021/104741/如若转载,请注明原文地址