Rustock再次成為垃圾郵件威脅方面的熱門話題。幾個月前，Rustock沉寂了大約兩周，然后于2011年3月16日被關(guān)閉。Rustock的關(guān)閉對全球垃圾郵件數(shù)量產(chǎn)生了極大影響。繼前一個月增加8.7%之后，3月的日均垃圾郵件數(shù)量下降了27.43%。伴隨著垃圾郵件發(fā)送總量的下降，垃圾郵件所占郵件發(fā)送總數(shù)的比例也相應(yīng)減少。此外，垃圾郵件發(fā)送者繼續(xù)利用日本地震來發(fā)送垃圾郵件、制造騙局、傳播惡意軟件并發(fā)動釣魚攻擊?？偠灾?，3月份垃圾郵件數(shù)量占郵件發(fā)送總量的74.68%，而2月為80.65%。

3月份的釣魚攻擊總量減少了22.71%。自動工具包攻擊與特殊域名攻擊的數(shù)量較上月也有所減少。利用自動工具包創(chuàng)建的釣魚網(wǎng)站數(shù)量減少了大約41.54%，而特殊URL攻擊的數(shù)量則下降了14.02%，含有IP域名的釣魚網(wǎng)站數(shù)量下降了約30.94%。Web托管服務(wù)占釣魚攻擊總數(shù)的13%，比上月減少22.31%。非英語類釣魚網(wǎng)站的數(shù)量猛降58.22%。在非英語類釣魚網(wǎng)站中，葡萄牙語、意大利語和西班牙語釣魚網(wǎng)站所占比例最高。

本期報告主要內(nèi)容：

2011年3月：垃圾郵件主題分析

Rustock的關(guān)閉

垃圾郵件發(fā)送者利用日本地震發(fā)動攻擊

釣魚者對日本無絲毫憐憫之心

新西蘭地震受害者遭遇虛假捐獻(xiàn)

本月熱點(diǎn)事件分析：

??

2011年3月，在線購藥、假冒軟件、成人約會垃圾郵件出現(xiàn)在主題名單的前10名之列。

Rustock的關(guān)閉

全球垃圾郵件數(shù)量在2011年3月16日明顯下降，原因則是 Rustock被關(guān)閉，這是一項(xiàng)由政府牽頭并協(xié)同微軟公司開展的行動。全球垃圾郵件數(shù)量在3月16日比前一天減少了24.7%，而在3月17日又減少了11.9%。之后，垃圾郵件發(fā)送數(shù)量一直處于低水平。

??

Rustock實(shí)際上在2010年底就處于休眠狀態(tài)。在本期報告中， 賽門鐵克探討了 Rustock僵尸網(wǎng)絡(luò)在2010年12月25日消失，又在2011年1月10日回歸的現(xiàn)象。隨著最近這次關(guān)閉，我們現(xiàn)在有兩個時段來得出其它衡量標(biāo)準(zhǔn)方面的關(guān)聯(lián)。由于Rustock曾經(jīng)是全球最“多產(chǎn)”的僵尸網(wǎng)絡(luò)之一，因此關(guān)閉行動產(chǎn)生的影響在垃圾郵件數(shù)量之外的其它衡量標(biāo)準(zhǔn)上也得到了顯現(xiàn)。

下圖表明了含有.ru的頂級域URL的垃圾郵件的比例。當(dāng)Rustock在去年年底臨時關(guān)閉時，含有.ru的頂級域URL的垃圾郵件比例下降了，但當(dāng)該僵尸網(wǎng)絡(luò)回歸后，此類垃圾郵件數(shù)量相應(yīng)增加。之后，在3月16日時，該比例再次猛降。

??

另外，類似的趨勢還可在郵件大小衡量標(biāo)準(zhǔn)里得出。下圖表明了2KB至5KB垃圾郵件的比例。

??

賽門鐵克還觀察到在接近3月底時，附件為壓縮文件的垃圾郵件有所增加。所有觀察到的樣本均假冒那些來自速遞服務(wù)公司的合法送貨提醒或通知。郵件正文要求收件人打開壓縮的可執(zhí)行文件，以便了解送貨所需的進(jìn)一步詳情或行動。

??

一旦收件人下載壓縮文件，就會安裝以下威脅（下面超鏈接為賽門鐵克安全響應(yīng)中心關(guān)于每種威脅的詳細(xì)說明）：

Trojan.FakeAV

Backdoor.Cycbot

Trojan.Sasfis

盡管這一僵尸網(wǎng)絡(luò)已被關(guān)閉，但垃圾郵件發(fā)送者似乎正在嘗試新方法，準(zhǔn)備重整旗鼓。

垃圾郵件發(fā)送者利用日本地震發(fā)動攻擊

在之前的東南亞海嘯、智利地震等等自然災(zāi)難中，垃圾郵件發(fā)送者利用這些慘劇獲利，發(fā)送惡意軟件、垃圾郵件，并制造騙局以及發(fā)動釣魚攻擊。該趨勢借助上個月的日本大地震得以延續(xù)。

在第一個例子中，垃圾郵件發(fā)送者嵌入了一段似乎是關(guān)于這場災(zāi)難的視頻，以此誘騙用戶。

??

但是，它只是一幅含有惡意軟件鏈接的圖像。一旦打開了鏈接，用戶就會被要求下載并安裝一個可執(zhí)行文件，它是一個和巴西銀行木馬有關(guān)的惡意軟件。該圖像所指引的鏈接hxxp://xxx.<removed>trade.com/globo.com.html能夠?qū)е掠脩魪陌l(fā)起攻擊的機(jī)器上下載惡意軟件。在惡意軟件成功安裝后，便會收集用戶的網(wǎng)上銀行證書和其它敏感信息。

??

此外，自這場自然災(zāi)難發(fā)生以來，詐騙者普遍已經(jīng)開始利用救援工作，發(fā)送419詐騙類型的郵件。最近觀察到尼日利亞騙局的另一個變種，該變種顯示，在日本應(yīng)對核危機(jī)時，虛假信息促使人們向地震與海嘯的幸存者提供幫助。

??

除此之外，釣魚攻擊也利用了這場災(zāi)難。詳細(xì)內(nèi)容請見下一部分“釣魚者對日本無絲毫憐憫之心”。

賽門鐵克建議用戶通過合法而安全的渠道向地震與海嘯受害者伸出援手。

釣魚者對日本毫無憐憫之心

2011年3月11日，一場9.0級大地震來襲，日本遭遇了有史以來最大的噩夢。世界各國都向日本伸出援手。此時，釣魚者們卻試圖利用這一災(zāi)難來竊取捐贈者的錢財(cái)，借他們的善心謀得利益。

??

賽門鐵克觀察到一個釣魚網(wǎng)站，它假冒一個流行的支付網(wǎng)關(guān)，請求人們?yōu)槿毡镜卣鹗芎φ呔栀?。釣魚者們對所有細(xì)微之處都很在意，這使得網(wǎng)頁看起來與合法品牌網(wǎng)站十分相似。在網(wǎng)頁的左上角，釣魚者使用了人道主義組織美國紅十字會的標(biāo)識，讓捐贈顯得更加真實(shí)。一份捐贈概要突出地放在該網(wǎng)頁的左側(cè)，顯示1歐元金額，并含有一個超級鏈接——“向日本地震受害者捐款”，該超級鏈接將重定向回該釣魚網(wǎng)頁。釣魚者把金額固定在小小的1歐元，目的就是希望用戶會毫不猶豫地支付該筆金額。

用戶被要求在兩個支付選項(xiàng)當(dāng)中做出選擇。第一個選項(xiàng)是針對該品牌的客戶，提醒他們通過在該品牌設(shè)立的賬戶付錢。第二個選項(xiàng)是要求提供信用卡或借記卡詳情。該詳情包括卡片類型、用戶名、出生日期、社保號碼、母親結(jié)婚前的名字、郵政地址、電話號碼、郵箱。在要求的信息被輸入后，釣魚網(wǎng)站則顯示“謝謝您”的信息。該釣魚網(wǎng)站的主機(jī)托管于在美國的服務(wù)器。釣魚者通過設(shè)計(jì)一些計(jì)謀來竊取用戶的機(jī)密信息，最終獲取經(jīng)濟(jì)利益。類似這樣的虛假捐贈已經(jīng)變成司空見慣的誘餌。

新西蘭地震受害者遭遇虛假捐獻(xiàn)

2011年2月22日，一場6.3級大地震摧毀了新西蘭克賴斯特徹奇市。數(shù)千新西蘭人因此失去了家園。詐騙者像往常一樣，利用這一災(zāi)難發(fā)送垃圾郵件，請求捐贈。而在1月份，釣魚者已經(jīng)利用相同的伎倆請求人們 為塞拉那洪災(zāi)的受害者捐贈 。

??

釣魚網(wǎng)站假冒紅十字會在新西蘭的網(wǎng)站，請求終端用戶提供幫助。首先，該網(wǎng)頁假冒網(wǎng)站提供了地震詳情，強(qiáng)調(diào)了城市受損程度。其次，它詳細(xì)介紹了如何安全地在網(wǎng)上捐贈。用戶在網(wǎng)上捐贈后，會立即通過電郵收到收據(jù)（出于交稅的目的）。其中，用戶可在三種信用卡服務(wù)中進(jìn)行選擇。

為了完成捐贈，用戶被要求輸入指定的保密信息。第一個部分是一個下拉式菜單，用戶必須從中選擇將為哪一個慈善事業(yè)捐贈。這些慈善事業(yè)包括2011年新西蘭地震、Annual Appeal 2011、澳大利亞洪災(zāi)基金、Landmine Appeal、太平洋災(zāi)難預(yù)備基金會（Pacific Disaster Preparedness Fund）、General Fund Appeal。

要求提供的保密信息包括電子郵件、郵政地址、信用卡號碼、三位社保號碼、卡片有效期、四位PIN代碼、駕照號碼、出生日期。輸入需要的信息后，網(wǎng)頁立即重定向回合法的紅十字會網(wǎng)站。該釣魚網(wǎng)站的主機(jī)托管于位于奧地利維也納的服務(wù)器。

“要”與“不要” 安全秘訣，以應(yīng)對垃圾郵件，保護(hù)你的企業(yè)、員工和客戶

要：

1.要退訂你不再希望接收的正常郵件。申請接收郵件時，確定你同時選擇接收的其他項(xiàng)目。取消你不想接收的郵件項(xiàng)目。

2.要精心選擇注冊電子郵件地址的網(wǎng)站。

3.要避免在互聯(lián)網(wǎng)上公布自己的電子郵件地址?？紤]其他選擇 – 例如，訂閱郵件時使用其他郵箱地址；不同郵箱地址用于不同目的，或可考慮一次性電子郵件地址服務(wù)。

4.要使用郵件管理員提供的郵件地址，如果可能的話，報告漏檢的垃圾郵件。

5.要刪除所有的垃圾郵件。

6.要避免點(diǎn)擊電子郵件或IM信息中的可疑鏈接，因?yàn)樗鼈兛赡軙溄拥结烎~網(wǎng)站。建議在瀏覽器中直接輸入網(wǎng)站地址，而不要依賴電子郵件提供的鏈接。

7.要時刻確保你的操作系統(tǒng)已進(jìn)行實(shí)時更新，使用綜合安全軟件套裝。

8.要考慮采用一個知名的反垃圾郵件解決方案，如賽門鐵克的Brightmail郵件安全綜合解決方案，以解決整個組織范圍內(nèi)的郵件過濾問題。

9.要訪問賽門鐵克的垃圾郵件狀態(tài)網(wǎng)站，掌握垃圾郵件的最新趨勢，網(wǎng)址是： http://www.symantec.com/spam 。#p#

不要：

1.不要打開未知的電子郵件附件。這些附件可能使你的電腦感染上病毒。

2.不要回復(fù)垃圾郵件。一般來說，發(fā)信人的電子郵件地址都是偽造的，回復(fù)郵件只會帶來更多的垃圾郵件。

3.不要填寫郵件中要求提供個人信息、財(cái)務(wù)信息或密碼的表格。知名公司不可能通過電子郵件形式要求你提供自己的個人詳情。如果有疑問，請通過獨(dú)立的、可信的渠道聯(lián)系該公司，如通過核實(shí)的電話號碼，或?qū)⒁阎木W(wǎng)絡(luò)地址輸入到新的瀏覽窗口（不要點(diǎn)擊郵件中鏈接，或復(fù)制粘貼郵件中的鏈接）。

4.不要根據(jù)垃圾郵件信息購買產(chǎn)品或服務(wù)。

5.不要打開垃圾郵件信息。

6.不要轉(zhuǎn)發(fā)垃圾郵件提供的病毒警告，這些警告通常是圈套。

附錄二：本月數(shù)據(jù)分析參考

圖一：垃圾郵件來源地區(qū)

圖二：垃圾郵件來源地區(qū)變化趨勢

圖三：釣魚攻擊方式的分布

??

圖四：釣魚攻擊的對象分布

??

【編輯推薦】

1. ??華為賽門鐵克發(fā)布萬兆UTM新品??
2. ??華為賽門鐵克N8500集群NAS系統(tǒng)刷新SPEC測試記錄??
3. ??卡巴斯基：全球垃圾郵件比例略有上升??
4. ??利用假冒SSL證書的釣魚攻擊瞄準(zhǔn)信用卡服務(wù)品牌??
5. ??梭子魚垃圾郵件解決方案減負(fù)企業(yè)郵箱??