【51CTO.com 綜合消息】人們通常習(xí)慣在新年到來之際嘗試為自己的工作、生活做出新的改變。然而，當(dāng)2009年到來之際，垃圾郵件發(fā)送者還沒卻從未決定放棄垃圾郵件之戰(zhàn)。最近的垃圾郵件數(shù)量統(tǒng)計(jì)表明，垃圾郵件已經(jīng)悄然恢復(fù)到此前80%的平均水平。此外，本期報(bào)告還詳解了網(wǎng)頁仿冒垃圾郵件的演變，并揭示其詐取受害人信息的真面目。

2009年1月垃圾郵件現(xiàn)狀報(bào)告主要內(nèi)容包括：

垃圾郵發(fā)送者不放棄利用經(jīng)濟(jì)衰退發(fā)動(dòng)攻擊

12月垃圾郵件數(shù)量持續(xù)增加，McColo被關(guān)閉的影響漸微

來自垃圾郵件制造者的信息

垃圾郵件發(fā)送者繼續(xù)搭載合法的電子通訊發(fā)送垃圾郵件

網(wǎng)址垃圾郵件——特別調(diào)查

網(wǎng)頁仿冒隨著網(wǎng)絡(luò)郵件仿冒的現(xiàn)身繼續(xù)演變

新年出現(xiàn)新一輪欺詐性攻擊

2008假日垃圾郵件回顧

垃圾郵件發(fā)送者擴(kuò)大產(chǎn)品范圍，兜售違禁藥物

被確定為垃圾郵件的電子郵件比例

定義：

全球互聯(lián)網(wǎng)郵件網(wǎng)關(guān)垃圾郵件比例（Worldwide Internet Mail Gateway Spam Percentage）是指在掃描電子郵件網(wǎng)關(guān)時(shí)，被分類操作列為垃圾郵件的電子郵件占總量的比例。這一比例代表了簡單郵件傳輸協(xié)議層的過濾，并且不包括在網(wǎng)絡(luò)層所檢測到的電子郵件數(shù)量。

全球垃圾郵件分類：

垃圾郵件分類數(shù)據(jù)來源于賽門鐵克探測網(wǎng)絡(luò)（Symantec Probe Network）的信息分類搜集庫。

垃圾郵件來源地區(qū)：

來源地區(qū)指過去30天內(nèi)來自特定國家和地區(qū)的垃圾郵件比例。

垃圾郵件發(fā)送者利用經(jīng)濟(jì)衰退發(fā)動(dòng)攻擊

隨著經(jīng)濟(jì)衰退繼續(xù)影響整個(gè)世界，垃圾郵件發(fā)送者利用這種狀況向用戶發(fā)送垃圾郵件也就不足為奇了。幾則最近的與經(jīng)濟(jì)相關(guān)的主題包括：

主題：政府將于最近一個(gè)月出臺(tái)救助方案

主題：經(jīng)濟(jì)衰退中的債務(wù)解決方案

主題：電視報(bào)道：衰退帶來的賺錢商機(jī)

主題：衰退帶來的賺錢商機(jī)

主題：利用惡化的經(jīng)濟(jì)形勢賺錢

主題：新工作在等著你

主題：經(jīng)濟(jì)危機(jī)下的生存之道：每周大賺500美元以上

主題：新工作在等著你（周薪不低于500美元）

讓人感興趣之處在于，這些攻擊與垃圾郵件發(fā)送者利用經(jīng)濟(jì)形勢的方式不同。這些攻擊偽造在家工作計(jì)劃，并附帶調(diào)查性垃圾郵件，二者都以獲取終端用戶的個(gè)人信息為目的。與經(jīng)濟(jì)衰退相關(guān)的經(jīng)濟(jì)類垃圾郵件見諸于各種語言，包括中文。

我們深信垃圾郵件發(fā)送者會(huì)一直利用動(dòng)蕩的經(jīng)濟(jì)形式，誘惑那些容易動(dòng)心的人們落入他們的惡意陷阱。

12月垃圾郵件數(shù)量持續(xù)增加，McColo被關(guān)閉的影響漸微

據(jù)報(bào)道，McColo散布的垃圾郵件曾占全球互聯(lián)網(wǎng)垃圾郵件的半數(shù)，該組織被關(guān)閉后，垃圾郵件數(shù)量的確大幅減少。然而，自11月中旬以來，隨著原有的僵尸網(wǎng)絡(luò)再次出現(xiàn)以及新的僵尸網(wǎng)絡(luò)的誕生，垃圾郵件的數(shù)量已緩慢回升并逐漸恢復(fù)到McColo關(guān)閉前80%的水平。

來自垃圾郵件制造者的信息

據(jù)賽門鐵克監(jiān)測，到11月底，垃圾郵件數(shù)量曾出現(xiàn)幾次增長高峰期，賽門鐵克對高峰期包含的垃圾郵件進(jìn)行檢測，發(fā)現(xiàn)其中一部分垃圾郵件信息是“加拿大藥店”。

該垃圾郵件使用超文本標(biāo)記語言格式的信息，并在網(wǎng)址中使用一組不同的域名。在高峰期，包含文本和超文本標(biāo)記語言內(nèi)容類型多用途國際郵件擴(kuò)展部分的垃圾郵件占總量的55%。在McColo關(guān)閉之前，含有文本和超文本標(biāo)記語言內(nèi)容類型多用途國際郵件擴(kuò)展部分的垃圾郵件占總量的55%以上。關(guān)閉后，該比例平均約為34%。這些垃圾郵件網(wǎng)址里包含數(shù)百個(gè)使用中國頂級域名.cn的域名。所有域名服務(wù)器或者和域名共享一個(gè)IP地址，或者使用位于中國境內(nèi)的其他IP地址。

在第二種情況，用戶被邀請加入社交網(wǎng)站上的一個(gè)群組。在這種情況下，電子郵件鏈接到垃圾郵件發(fā)送者在社交網(wǎng)站上創(chuàng)建的真實(shí)群組。然后，這個(gè)群組鏈接到一個(gè)免費(fèi)的博客網(wǎng)站。該博客網(wǎng)站充當(dāng)中轉(zhuǎn)站點(diǎn)，將終端用戶重定向到最終的目的網(wǎng)址。目前，觀測的許多垃圾郵件均使用同一個(gè)社交網(wǎng)站群組。這可能是因?yàn)槔]件發(fā)送者以此進(jìn)行嘗試，也可能是因?yàn)榻⒍鄠€(gè)群組需要多個(gè)賬號，相當(dāng)費(fèi)時(shí)。

一旦用戶鏈接到目的網(wǎng)址，會(huì)被要求填寫一張個(gè)人信息表。這些信息可能被出售給營銷公司，也可能用于將來發(fā)送垃圾郵件。

賽門鐵克建議用戶不要輕易接受任何陌生社交網(wǎng)站的邀請。

垃圾郵件發(fā)送者搭載合法電子通訊發(fā)送垃圾郵件

2008年12月，試圖利用合法的電子郵件通訊的垃圾郵件攻擊數(shù)量增加。這種攻擊手段是，垃圾郵件發(fā)送者試圖在現(xiàn)有的合法電子通訊和廣告的模板中插入垃圾郵件圖片。這種手段的設(shè)計(jì)初衷是通過利用郵件中絕大多數(shù)看似合法的數(shù)據(jù)來回避各種垃圾郵件攔截技術(shù)。這是垃圾郵件發(fā)送者借合法郵件發(fā)送者之名發(fā)送垃圾郵件的又一個(gè)例子。

下面這個(gè)例子中，F(xiàn)ood Network品牌郵件本身包含了一個(gè)推銷各種藥品的垃圾郵件廣告。如果用戶點(diǎn)擊垃圾郵件中的任何一個(gè)鏈接，都會(huì)進(jìn)入一個(gè)由垃圾郵件發(fā)送者操控的網(wǎng)站，該網(wǎng)站用于推銷某些藥品。

#p#

網(wǎng)頁仿冒垃圾郵件——特別調(diào)查

國際互聯(lián)網(wǎng)域名與地址分配機(jī)構(gòu)（ICANN）規(guī)定，所有域名都必須與一家注冊管理機(jī)構(gòu)相連，所有域名申請必須通過一家注冊管理機(jī)構(gòu)提交?，F(xiàn)在，注冊的網(wǎng)站有數(shù)十萬個(gè)。注冊流程簡單，注冊成本也不太高。

垃圾郵件發(fā)送者可以輕易地注冊域名，而且注冊管理機(jī)構(gòu)難于區(qū)分垃圾郵件發(fā)送者和合法組織及網(wǎng)站開發(fā)機(jī)構(gòu)。垃圾郵件發(fā)送者在垃圾郵件中經(jīng)常輪換使用域名，認(rèn)為這一策略能夠回避依靠模式匹配阻止垃圾郵件的過濾軟件。一般而言，目前近90%的垃圾郵件均含有某類網(wǎng)址。

頂級域名（TLD）位于所有域名最后一個(gè)點(diǎn)之后，是整個(gè)域名的一部分。例如，在www.symantec.com域名中，頂級域名是com。國家代碼頂級域名（ccTLD）是一個(gè)國家或獨(dú)立區(qū)域普遍預(yù)留或使用的頂級域名。賽門鐵克公司最近的分析表明，在最近一周的垃圾郵件中，68%的垃圾郵件的網(wǎng)址頂級域名為com，18%的國家代碼頂級域名為cn，即中國的頂級域名，5%的頂級域名為net。俄羅斯的國家代碼頂級域名為ru，德國的國家代碼頂級域名為de。垃圾郵件發(fā)送者們經(jīng)常輪換使用頂級域名，以回避防垃圾郵件過濾器。

目錄常被用來排列或顯示某些文件。賽門鐵克發(fā)現(xiàn)盡管71%的垃圾郵件網(wǎng)址沒有目錄，但2.4%的網(wǎng)址包含6個(gè)以上的目錄。垃圾郵件發(fā)送者們經(jīng)常使用多個(gè)目錄，力圖使創(chuàng)造的網(wǎng)址看上去像合法網(wǎng)址，這一點(diǎn)與子域名類似。

網(wǎng)頁仿冒隨著網(wǎng)絡(luò)郵件的出現(xiàn)繼續(xù)演變

關(guān)于網(wǎng)絡(luò)郵件仿冒的報(bào)告最早是在2008年初，但是最近迅猛增加。該輪攻擊的主要目標(biāo)是獲取網(wǎng)絡(luò)郵件證書，如密碼和聯(lián)系人名單的電子郵件地址。網(wǎng)絡(luò)郵件仿冒者已經(jīng)采用多種不同的方案，以試圖確保收集該信息。這些方案包括：

方案1：

“我們來信通知您，鑒于所有電子郵件帳戶發(fā)生擁塞，我們將采取一些臨時(shí)性的維護(hù)服務(wù)，但是擔(dān)心客戶的電子郵件帳戶會(huì)在這個(gè)過程中失效。為了避免您的電子郵件帳戶失效，并使您的郵件記錄繼續(xù)留在我們的數(shù)據(jù)庫中，建議您向我們提供如下信息。否則，由于安全原因，您的電子郵件帳戶將在48個(gè)小時(shí)內(nèi)暫停使用。”

方案2：

“由于電子郵件用戶抱怨我們的（名稱略）網(wǎng)絡(luò)郵件系統(tǒng)中出現(xiàn)垃圾郵件，我們進(jìn)行了調(diào)查。調(diào)查顯示，您的電子郵件地址受到牽連，該地址在我們的（名稱略）網(wǎng)絡(luò)郵件系統(tǒng)中發(fā)送垃圾郵件。因此，如果您不在24小時(shí)內(nèi)將要求的信息發(fā)送給我們，您的用戶名將失效?！?/p>

和其他的網(wǎng)頁仿冒信息一樣，這些都是經(jīng)過精心策劃的，看起來就像出自于特定的合法組織一樣。然后，該組織的成員就會(huì)成為垃圾郵件攻擊的目標(biāo)。網(wǎng)絡(luò)郵件仿冒的一個(gè)常見特征是，郵件僅以文本方式發(fā)送。和傳統(tǒng)網(wǎng)絡(luò)仿冒信息不同的是，該信息不包含虛假的URL鏈接。收件人在回復(fù)時(shí)只需使用“回復(fù)”標(biāo)題中的地址或者郵件正文中的郵件地址。

顯然，只要有利可圖，仿冒郵件的發(fā)送者就會(huì)不斷改進(jìn)他們的手段，以欺騙個(gè)人和機(jī)構(gòu)。

#p#

新年出現(xiàn)新一輪欺詐性攻擊

2009年才過去一天多，某個(gè)垃圾郵件發(fā)送者就決定發(fā)動(dòng)新一輪欺詐性攻擊。垃圾郵件發(fā)送者自稱為一家頗負(fù)盛名的銀行機(jī)構(gòu)，向人們發(fā)送帶有陷阱的新年賀卡。郵件中包含一個(gè)用于查看其他信息的鏈接。當(dāng)收件人點(diǎn)擊網(wǎng)址鏈接時(shí)，就會(huì)被要求輸入“下框中提示的個(gè)人ID或16位卡號（非信用卡號）以及后面的通行碼和注冊號”，以接收關(guān)于銀行欺詐的緊急告警。

2008假日垃圾郵件回顧

要把人們聚集到一起，聚會(huì)是最好的形式。放假期間的垃圾郵件同樣如此。商家利用假日大肆兜售成人用品、休閑娛樂用品、金融理財(cái)產(chǎn)品及醫(yī)療產(chǎn)品。419個(gè)垃圾郵件發(fā)送者也同樣以發(fā)動(dòng)新的垃圾郵件攻擊來慶祝節(jié)日。放假期間垃圾郵件攻擊使用的語言并不限于英語，還包括非英語類垃圾郵件，如主題為Cadeaux sexy pour Noel的垃圾郵件。其他包括：

主題：2009新型號推出

主題：圣誕安全網(wǎng)上購物從這里開始

主題：好工作任你選！??！假期聯(lián)系人：

主題：英國圣誕彩票大獎(jiǎng)等你拿

主題：網(wǎng)上圣誕公告

主題：假日賀卡！無需注冊！完全免費(fèi)！

主題：讓佛蒙特玩具熊為你傳遞溫馨的節(jié)日問候

垃圾郵件發(fā)送者擴(kuò)大產(chǎn)品范圍，兜售違禁藥物

以健康為主題的垃圾郵件約占全部垃圾郵件的11%。此類垃圾郵件通常包含能夠在藥店合法購買的藥物。另一種以藥物為主題的電子郵件的出現(xiàn)有點(diǎn)令人驚訝。該郵件出現(xiàn)于2008年12月，一般會(huì)引起執(zhí)法機(jī)構(gòu)的注意。這類垃圾郵件的主題包括：“搖頭丸（家庭聚會(huì)首選，與好友分享）”。如果收件人對他們提供的東西感興趣，文本信息就會(huì)引導(dǎo)收件人通過電子郵件答復(fù)其中一個(gè)免費(fèi)網(wǎng)絡(luò)郵件帳戶。

【編輯推薦】

1. ??斬妖除魔：垃圾郵件的防范技術(shù)專題??
2. ??究竟誰是垃圾郵件制造者??
3. ??Websense專家解讀當(dāng)前垃圾郵件形勢??

【責(zé)任編輯：王文文 TEL：（010）68476606】