?[[354224]]?

 垃圾郵件和網絡釣魚攻擊的花樣百出

如今，許多公司通過在線平臺發(fā)布營銷新聞，在功能方面，此類平臺的功能非常多樣化：它們發(fā)出廣告和信息性消息、收集統(tǒng)計數(shù)據(例如，有關電子郵件中點擊的鏈接的信息)等。與此同時，此類服務同時吸引了垃圾郵件發(fā)送者和黑客。垃圾郵件發(fā)送者利用這些服務發(fā)送郵件，而黑客通常通過網絡釣魚來獲取用戶賬戶。因此，攻擊者也掌握了用戶創(chuàng)建的郵件列表，這使他們能夠傳播大規(guī)模廣告或網絡釣魚信息，過濾系統(tǒng)有時會讓這些信息通過。

因此在第三季度，研究人員記錄了使用Sendgrid平臺發(fā)送的消息數(shù)量的增加。其中很大一部分是釣魚攻擊，其目的是竊取主要資源的登錄憑證。這些電子郵件與傳統(tǒng)的釣魚郵件沒有什么不同，除了合法的標題和Sendgrid的鏈接之外，Sendgrid會將收件人重定向到釣魚網站。對善于觀察的人來說，地址欄和From字段會顯示這些信息都是偽造的。

??

電話欺詐

在之前的季度報告中，研究人員談到了一種日益普遍的詐騙行為，即詐騙者號稱是從大公司發(fā)送的電子郵件，要求在給定的電話號碼上緊急聯(lián)系技術支持。然后，與運營商聯(lián)系的用戶會被要求提供銀行卡信息等信息，攻擊者利用這些信息將用戶的賬戶洗劫一空，最常用的免費電話號碼在國家代碼后面有特定的三位數(shù)前綴(例如:800,888,844)。

在2020年第三季度，研究人員觀察到這些攻擊的技術和手段都發(fā)生了新的變化，不僅警告未經授權的賬戶訪問，還警告用戶可能進行的金融交易。攻擊者的計劃是，當看到一條關于金融交易的消息時，機會自動撥打相關電話。這類電子郵件不包含鏈接，而且郵件本身是圖像，這使得它更難被發(fā)現(xiàn)。

??

詐騙者喜歡這種方案，因為發(fā)送垃圾郵件比打電話給潛在的受害者的成本要低得多，也容易得多。為了避免上當，你可以使用該組織官方網站上的電話號碼(而不是郵件里的電話號碼)打電話給支持服務機構，或者使用一款可以檢查電話號碼來防止電話詐騙的應用程序。

新冠疫情和垃圾郵件主題

Facebook的捐款

在2020年第三季度，許多社交網絡和短信用戶看到了帶有一些有趣新聞的屏幕截圖：CNBC報道了Facebook向新冠疫情受害者捐款的消息。如果你想獲得捐款，就要點擊鏈接填寫一些文件。

??

這個鏈接與Facebook沒有任何關系，只是一個偽造的頁面。要申請捐款，你必須輸入你的Facebook用戶名和密碼，然后提供個人信息驗證你的身份，包括SSN(社會安全號碼)。最后這一細節(jié)表明，攻擊的目標是美國居民。輸入所有請求數(shù)據的用戶不僅向黑客提供了他們的社交網絡賬戶，還提供了個人信息，這些信息可能會被用于身份盜竊或銀行卡詐騙。

值得注意的是，該計劃是基于官方消息，即Facebook確實準備為新冠疫情受害者提供支持。但它只涉及對公司的撥款，即公對公而不針對個人。

和旅游主題相關的釣魚攻擊

新冠疫情大流行重創(chuàng)了旅游業(yè)，也對詐騙者產生了影響。這意味著本季度攻擊者利用暑假等旅游主題的電子郵件攻擊比往年都要少。然而，新冠疫情大流行并沒有阻止詐騙者的攻擊欲望，只是轉移了他們的攻擊目標而已。

在第三季度，Airbnb和Expedia Group用戶是網絡釣魚攻擊的最常見目標?？释@得用戶憑據的虛假頁面會偽裝成官方網站的設計，只有仔細查看地址欄才能辨別出來，而地址欄上的域名通常與目標公司無關，或者屬于免費托管服務。

為了避免過早暴露，詐騙者使用了短網址服務，并在社交網絡和聊天程序中傳播信息，縮短的鏈接看起來成功的幾率是很大的。在他們的信息中，詐騙者提供廉價的機票或廉價的酒店交易。而且在點擊鏈接之前不可能知道鏈接指向哪里，而這正是攻擊者利用的。通過這種方式竊取的賬戶可以用于洗錢等活動。

?[[354225]]?

網絡釣魚者還偽造了帶有租賃報價的頁面：訪客可以查看公寓的照片并閱讀有關所謂條款和條件的詳細信息。在頁面的下方是以前的客戶的瘋狂評論，目的是使受害者相信網頁的真實性。如果受害者計劃出租信息，就必須支付預付款。然后，定金一旦交付，用戶就會發(fā)現(xiàn)自己受騙了。另外，黑客有意突出偽造網頁上的產品的低價和高折扣特點，以分散受害者的注意力，使他們無法查看URL的真實性。

??

對企業(yè)部門的攻擊

惡意郵件

研究人員已經講述了偽裝成捐贈服務通知形式的惡意文件的傳播，他們在本季度也繼續(xù)肆虐：研究人員發(fā)現(xiàn)了一封郵件，該郵件針對的是與某些銷售能力相關的員工。詐騙者說服收件人打開所附文件，據稱是為進口貨物支付關稅。該附件包含文檔Backdoor.MSIL.Crysan.gen，而不是文檔。

??

值得一提的是帶有“提醒”的有關在線聚會的惡意郵件，例如，其中一個通過點擊附件的鏈接要求收件人加入Zoom會議。用戶最終沒有參加會議，而是進入了WeTransfer網絡釣魚頁面。如果用戶誤點擊了釣魚鏈接并輸入WeTransfer憑據，則攻擊者可以獲得對存儲在此云中的公司文件的訪問權限。

??

另一封郵件通知用戶與他們共享了Microsoft SharePoint文檔，點擊鏈接后，受害者被重定向到偽造的Microsoft登錄頁面，該頁面幫助黑客竊取帳戶用戶名和密碼。

??

遇到包含惡意文件的通知要危險得多，例如，下面的包含HEUR的消息乍一看無害：Trojan-Downloader.Script.Generic。

??

通過下面電子郵件中的鏈接下載的Trojan-Banker.Win32.ClipBanker被用于竊取金融(包括與加密貨幣相關的信息)信息。

??

郵件掃描儀

為了獲得公司帳戶的訪問權限，攻擊者傳播了一些消息，指出已在收件人的郵箱中發(fā)現(xiàn)病毒，并建議進行緊急掃描，否則該帳戶將被禁用。這些郵件偽裝成來自infosec公司的通知，是從一個免費的郵件地址發(fā)送的，并使用諸如電子郵件安全團隊的中性名稱以避免不必要的細節(jié)。

??

黑客認為是計算機病毒和停用的工作電子郵件帳戶共同造成的威脅，迫使收件人忽略了某些奇怪的消息。例如，此類電子郵件可能來自公司的IT部門或安全部門，而不是第三方。點擊鏈接打開的頁面在地址或布局上均與公司資源不相似。另外，為了增強可信度，攻擊者在上面貼了所有主要信息安全公司的徽標。

如果用戶要開始“病毒掃描”，則要求用戶輸入公司郵箱的用戶名和密碼。也就是說，即使在字段中輸入了任意憑據，“掃描”也會開始：

??

垃圾郵件的統(tǒng)計

垃圾郵件在郵件流量中的比例

??

2020年第二季度至2020年第三季度垃圾郵件在全球郵件流量中的比例

2020年第三季度，垃圾郵件占最大占比(80.0%)(80.07%)，與上一個季度的報告相比垃圾郵件在全球郵件流量中的平均占比為48.91%，下降了1.27個百分點。

各國垃圾郵件的來源

??

2020年第3季度按國家分類的垃圾郵件來源

垃圾郵件發(fā)送量排名前5位的國家與上一季度相同，只是占比變了，其中增長最大的是俄羅斯，排名第一，上升了5個百分點至23.52%。其余前五名的占比波動幅度不超過一個百分點。第二名的德國上升了11.01%，第三的美國上升了10.85%，法國上升了6.69%，中國上升了6.33%。

10名以后的排名變化更大，例如，這次土耳其排名第11位(1.73%)，荷蘭位居第六(3.89%)，巴西(3.26%)第七位，西班牙(2.52%)第八位，日本(2.30%)第九位，波蘭(1.80%)位居前十名。

垃圾郵件的大小

??

2020年第二季度至2020年第三季度的垃圾郵件大小

到2020年第三季度，非常小的電子郵件數(shù)量繼續(xù)下降。他們的占比顯著下降，下降了13.21個百分點，至38.09%。大小為20–50 KB的電子郵件所占的份額增加了12.45個百分點，占已注冊垃圾郵件總數(shù)的28.20%，但是大小為10–20 KB的電子郵件數(shù)量下降到8.31%，大小為100-200 KB的垃圾郵件份額也較低，這次它們的占比為1.57%。

惡意附件：惡意軟件家族

??

2020年第二季度到2020年第三季度郵件殺毒軟件觸發(fā)次數(shù)

在2020年第三季度，研究人員的安全解決方案共檢測到51025889個惡意電子郵件附件，比上一報告期間多了近800萬個。

??

2020年第三季度郵件流量中排名前10位的惡意附件

第三季度郵件流量中最廣泛使用的惡意軟件被認定為Trojan-PSW.MSIL.Agensla.gen(8.44%)。排在第二位的是Exploit.MSOffice.CVE-2017-11882.gen(5.67%)，而Trojan.MSOffice.SAgent.gen(4.85%)位居第三。

??

2020年第三季度郵件流量中排名前10位的惡意軟件家族

本季度被應用最多的惡意軟件家族是Trojan-PSW.MSIL.Agensla(12.67%)，它在上一報告期間排名第二，上一季度的領導者Trojan.Win32.Agentb位居第二(8.78%)，與上一季度一樣，第三名是Exploit.MSOffice.CVE-2017-11882(8.03%)。

被惡意郵件攻擊的國家

??

2020年第3季度按國家/地區(qū)劃分的郵件攻擊事件分布

自今年年初以來，西班牙的郵件攻擊事件數(shù)量一直處于領先地位，在第三季度，這個國家的用戶占攻擊的7.76%。這次排名第二的是德國(7.05%)，俄羅斯(5.87%)排在第三位。

網絡釣魚的統(tǒng)計信息

在2020年第三季度，卡巴斯基的反釣魚系統(tǒng)阻止了103060725次將用戶重定向到偽造頁面的嘗試，比第二季度減少了近320萬次。

攻擊的地理分布

這次，遭受網絡釣魚者攻擊的用戶比例最大的國家是蒙古(15.54%)。

以色列(15.24%)位居第二，法國(12.57%)則位居第三。

頂級域名

和之前一樣，本季度最受攻擊者歡迎的頂級域名是COM(占攻擊所用的頂級域名總數(shù)的40.09%)。Silver 升至XYZ(5.84%)，bronze升至NET(3.00%)，RU排在第四位(2.93%)，BUZZ排在第五位(2.57%)。

??

2020年第三季度最受釣魚攻擊者歡迎的頂級域名

受到攻擊的組織

網絡攻擊者對不同類型組織的攻擊的評級是基于卡巴斯基反網絡釣魚組件的檢測，這個組件檢測用戶嘗試通過以下電子郵件或Web鏈接訪問的帶有網絡釣魚內容的頁面，而不管用戶如何訪問該頁面：通過點擊網絡釣魚電子郵件中或社交網絡中消息中的鏈接，或者被惡意程序重定向。觸發(fā)組件后，瀏覽器中會顯示一個警告，警告用戶有關潛在威脅。

與以前一樣，在線商店類別吸收了最多的網絡釣魚攻擊，盡管它的占比比2020年第二季度略微下降(下降了0.20個百分點)至19.22%。全球門戶網站(14.48%)位居第二，銀行(10.89%)位居第三。

??

2020年第三季度按類別劃分的遭受網絡釣魚攻擊的組織的分布

總結

今年第一季度出現(xiàn)的新冠疫情主題仍是垃圾郵件發(fā)送者和網絡釣魚者的熱門話題，在研究人員看來，所謂的第二波浪潮可能會導致各種與冠狀病毒相關治療的郵件激增。此外，在經濟形勢不斷惡化的背景下，詐騙郵件數(shù)量有所增加。

本季度，垃圾郵件在全球郵件流量中的平均占比為48.91%，下降了1.27個百分點。與上一個季度相比，嘗試重定向的次數(shù)總計近1.03億。

在第三季度的垃圾郵件來源國家排行榜中，俄羅斯再次占據首位，占比23.52%。卡巴斯基的安全解決方案目前已經屏蔽了51025889個惡意附件，垃圾郵件中最流行的惡意軟件家族是Trojan-PSW.MSIL.Agensla，占郵件流量的12.67%。

本文翻譯自：https://securelist.com/spam-and-phishing-in-q3-2020/99325/如若轉載，請注明原文地址。