主页 > imtoken海外版 > 卡巴斯基：2018 年第三季度网络钓鱼和垃圾邮件报告

卡巴斯基：2018 年第三季度网络钓鱼和垃圾邮件报告

imtoken海外版 2023-05-09 05:08:02

1、关注本季度

1.1 垃圾邮件中的个人数据

我们知道我们应该保护个人数据的安全，避免将其提交到有问题的网站，以免欺诈者利用这些数据。这些数据的泄露可被攻击者用来尝试登录账户、进行针对性攻击或进行勒索软件活动。

在第三季度，我们从垃圾邮件通信中截获了大量欺诈邮件。今年年初，我们曾披露过此类骗局，恶意行为者会向用户勒索赎金，并声称如果不支付赎金，他们就会发布一些用户的“破坏性证据”。在新一波包含用户实际个人数据（包括姓名、密码、电话号码等）的网络钓鱼和垃圾邮件中，诈骗者正在采用这种方法试图让用户相信他们确实拥有某些私人信息。垃圾邮件活动分几个阶段进行，诈骗者可能利用了一系列个人信息数据库。之所以做出这样的推断，是因为我们发现所使用的电话号码的号码格式在不同阶段是不同的。

攻击者以前主要针对说英语的用户，但在 9 月，我们发现了一系列其他语言的电子邮件，包括德语、意大利语、阿拉伯语和日语。

骗子勒索的金额从几百元到几千元不等。为了收取款项，他们注册了多个比特币钱包，并在不同的恶意活动中使用了不同的钱包。 7 月发生了 17 笔比特币交易，总价值超过 3 个比特币（按现行汇率计算为 18,000 美元）。

同样，在第三季度，我们检测到针对企业用户的恶意垃圾邮件活动，主要目标是密码，范围包括浏览器、即时消息、电子邮件、FTP 客户端、加密货币钱包等。网络罪犯模仿来自知名公司的商业信函或通知电子邮件，将 Loki Bot 恶意软件隐藏在电子邮件所附的 ISO 文件中，并试图用恶意软件感染受害者的计算机。

1.2 针对银行的恶意垃圾邮件攻击

在第二季度，我们发现 Necurs 僵尸网络的控制者发送带有 IQY（Microsoft Excel Web 查询）附件的恶意电子邮件。而本季度，他们将注意力转向了银行业，并且和以前一样使用了一种不同寻常的恶意电子邮件文件格式，这次使用的是 PUB（Microsoft Publisher）。这些电子邮件被发送到各个国家信用机构的电子邮件地址，PUB 文件附件包含一个特洛伊木马程序，该程序将一个可执行文件（检测为基于 Backdoor.Win32.RA）下载到受害计算机。

比特币勒索病毒原理_英文邮件性勒索比特币_垃圾邮件勒索比特币

1.3 新iPhone发布

第三季度末，苹果发布了新一代产品。然而，在此期间，针对一些为 Apple 提供配件和更换零件的小公司发送的欺诈性电子邮件激增。这些诈骗电子邮件通常包含指向最近创建的在线商店的链接，这些链接可能会在一天后消失。如果用户信任这样的站点并进行付款或交易，那么钱就会丢失，当然也不会收到货物。

同样，在此期间，伪装成 Apple、Apple 服务和包含恶意附件的电子邮件的钓鱼邮件数量略有增加。

1.4 新形式的经典医药垃圾邮件

垃圾邮件发送者一直在寻找绕过邮件过滤器的方法，从而提高恶意电子邮件的“可传递性”。为此，他们试图伪造知名公司和通用服务的通知电子邮件（包括内容和技术）。例如，他们复制银行和其他通知电子邮件的布局，并在用户必须看到的字段中添加真正的标题。

这种典型的网络钓鱼和恶意广告活动技术在经典垃圾邮件中使用得更频繁，例如在提供非法药物的电子邮件中，在上个季度，我们检测到伪装成流行社交网络的电子邮件，包括 LinkedIn 垃圾邮件，其通知消息包含虚假链接，但该链接不是要求提供个人信息的网络钓鱼表单，而是直接指向一家药店的网站。

采用这种新方法的原因是反垃圾邮件解决方案现在能够检测传统形式的垃圾邮件，因此垃圾邮件发送者开始使用伪装。我们预计这种趋势会随着时间的推移而加剧。

1.5 大学垃圾邮件

自今年年初以来，诈骗者对大学网站帐户表现出越来越大的兴趣。据我们监测，全球16个国家的131所大学遭到攻击。网络罪犯希望获得个人数据和学术研究的访问权限。

1.6 求职垃圾邮件

为了获取个人数据，攻击者抓住了这个求职环节。他们伪造了一些知名公司的招聘页面，并声称提供有吸引力的职业和薪水，以吸引受害者填写申请表。

垃圾邮件勒索比特币_英文邮件性勒索比特币_比特币勒索病毒原理

1.7 传播方式

本季度，我们再次关注网络犯罪分子如何分发网络钓鱼和其他非法内容。在这里，我们希望揭示哪些方法在攻击者中越来越流行，并提醒用户注意它们。

一些浏览器支持网站向用户发送通知（例如 Chrome 中的 Push API），网络犯罪分子已经注意到了这种技术。它们部署在网站上，用于与各种合作伙伴进行网络协作。借助弹窗通知，将用户引诱到“伙伴”网站，网站会提示输入一些个人信息垃圾邮件勒索比特币，这些信息最终会被不法分子收集。

默认情况下，Chrome 会请求允许为每个站点启用通知。为了让用户点击允许，攻击者会声称如果不点击“允许”按钮，页面将无法继续加载。

在允许网站显示通知后，许多用户通常会忘记它，因此当屏幕上弹出一条消息时，他们不知道弹出窗口实际上是从哪里来的。

这里的危险在于，当用户访问受信任的资源时，可能会显示通知。这样，受害者可能会误解消息的来源，一切都表明弹出的消息来自当前打开的受信任站点。例如，用户可能会看到有关汇款、赠品或更好优惠的通知，这通常会导致钓鱼网站、在线赌场、虚假赠品网站或付费订阅网站：

单击通知后，您将转到我们本季度早些时候推出的在线礼品卡生成器。该生成器为用户生成流行网络商店的免费礼品卡。但问题是，为了获得生成的代码，访问者需要执行某些操作来证明它们不是由机器人自动完成的。这里需要进行的操作不是接收验证码，而是转向一系列合作伙伴网站、参与赠品活动、填写表格、下载资料、注册付费短信邮件等。

1.8 媒体垃圾邮件

使用媒体属性是一种罕见但非常有效的分发欺骗性内容的方法。我们以非常流行的 WEX 加密货币交易所为例，该交易所在 2017 年之前使用名称 BTC-E。2018 年 8 月，攻击者编造了虚假的俄罗斯媒体新闻，声称该交易所由于内部问题将其域名更改为 wex.ac .

英文邮件性勒索比特币_比特币勒索病毒原理_垃圾邮件勒索比特币

但wex.nz管理层很快发布推文（该推文也会发布在交易所首页），表示wex.ac只是一个假冒网站，提醒用户注意资金安全和不要将资金转移到钓鱼网站。

然而，这并没有阻止诈骗者发布更多关于交易所转移到新域的消息，这次声称是在 .sc 域上。

1.9 Instagram

在诈骗者用来分发内容的社交媒体平台中，Instagram 需要受到高度关注。最近，网络犯罪分子开始使用这个平台。 2018年第三季度，我们在这个社交平台上发现了很多虚假的IRS用户账户，以及很多自称是巴西知名银行官方账户的虚假账户。

诈骗者不仅会创建虚假账户，而且还会尝试破坏真实的、受欢迎的账户。今年8月，一波黑客攻击席卷了社交网络。网络犯罪分子伪造“账户验证”页面，通过钓鱼攻击等方式引诱用户访问。该钓鱼页面声称为用户添加了一种罕见的“蓝色”。复选标记”状态徽章。

当骗子提供“验证”账户页面时，社交网络中不存在的一个功能出现了：徽章，以前只能由平台管理授予，现在可以由用户在“账户设置”中申请”。

2.统计：垃圾邮件

2.1 电子邮件通信中垃圾邮件的百分比

2018年Q3，全球垃圾邮件占比最高的月份出现在8月份（53.54%）。垃圾邮件在全球邮件通信中的平均占比为52.54%，较上一季度上升2.88%。

垃圾邮件勒索比特币_英文邮件性勒索比特币_比特币勒索病毒原理

2.2 国家分布

Q3垃圾邮件的三个主要来源与第二季度相同，中国排名第一（13.47%）垃圾邮件勒索比特币，其次是美国（10.89%）和德国（10.37%）。第四名是巴西（6.33%），第五名是越南（4.41%），阿根廷（2.64%）进入前十。

2.3 邮件大小分布

2018年Q3，小于2KB的垃圾邮件占比下降5.81%至73.36%。与第二季度相比，5-10KB 之间的消息百分比略有增加（增加 0.76）至 6.32%。与此同时，10-20KB 电子邮件的份额下降了 1.21% 至 2.47%。 20-50KB垃圾邮件占比基本保持不变，仅下降了0.49，目前为3.17%。

2.4 电子邮件附件中的恶意软件分布

根据2018年Q3监测结果，邮件附件中最常见的恶意软件仍然是Exploit.Win32.CVE-2017-11882，比上一季度增加0.76个，上升到11.11%。 Backdoor.Win32.Androm 的份额增加，上升到第二位（7.85%），而 Trojan-PSW.Win32.Farei 则下降到第三位（5.77%）。第四名和第五名分别是Worm.Win32.WBVB和Backdoor.Java.QRat。

2.5 目标国家（地区）分布