根據(jù)ASRC研究中心 (Asia Spam-message Research Center) 與守內(nèi)安的觀察，2021年第三季度垃圾郵件總體數(shù)量并無明顯波動，但釣魚郵件仍然沒有平息。利用 CVE-2018-0802 程序漏洞偽裝成訂單郵件的攻擊，數(shù)量上相較上季略有趨緩，但仍需要特別留意;冒充企業(yè)的偽造郵件攻擊，較上季增長約1.5 倍，而針對個人詐騙郵件的數(shù)量較上季增長了1.2倍，個人與企業(yè)均須時刻提防中招。本季較為特殊的樣本如下：

[[430388]]

釣魚郵件透過 HTML 標(biāo)簽挑選攻擊目標(biāo)

調(diào)查中，研究人員發(fā)現(xiàn)了特別的釣魚郵件樣本，這個樣本在Apple Mac的默認(rèn)郵件客戶端開啟時，會直接顯示出可點(diǎn)擊的鏈接;但若在其他的微軟操作系統(tǒng)常見的郵件客戶端，則不會顯示出可點(diǎn)擊的鏈接。

macmail.jpg，在 Apple Mac 的默認(rèn)郵件客戶端開啟時，會直接顯示出可點(diǎn)擊的鏈接

notmac.jpg，微軟操作系統(tǒng)常見的郵件客戶端則不會顯示出可點(diǎn)擊的鏈接

查看源代碼，發(fā)現(xiàn)這封釣魚郵件使用了HTML標(biāo)簽。這個標(biāo)簽主要是用于設(shè)定整個頁面中，所有鏈接類型屬性的默認(rèn)根網(wǎng)址。不過這個標(biāo)簽并非所有的客戶端系統(tǒng)都支持，因此可借由使用這個標(biāo)簽來篩選攻擊目標(biāo)。

basehtml.jpg，這封釣魚郵件使用了一個 的HTML標(biāo)簽

冒充航空公司問卷調(diào)查，釣取信用卡信息

八月份有攻擊者冒充某幾家航空公司身份，以入選客戶忠誠方案為名的問卷調(diào)查，肆意流竄出一波主題為“Congratulations ! You've been selected by xxxx Airline Loyalty Program”的郵件，目標(biāo)是騙取收件人的信用卡信息。

假冒某航空公司，以限時活動、花2~3分鐘便可獲得回饋的調(diào)查方案，引誘收件人填寫問卷

郵件中宣稱只要花一點(diǎn)時間協(xié)助做完問卷調(diào)查，就能得到豐厚的賬戶獎勵。為了取信收件人，郵件中所有的圖片皆來自航空公司官方網(wǎng)站，只有問卷所在的網(wǎng)址暗藏于被篡改的網(wǎng)站。若收件人貿(mào)然點(diǎn)擊鏈接前往此頁，可能會被精心設(shè)計偽裝好的問卷調(diào)查，松懈了戒心;在填完假問卷后，便會進(jìn)一步要求個人的信息。

聲稱填完問卷可獲得實質(zhì)獎勵

當(dāng)被害人填寫完個人信息后，接著會被要求輸入信用卡信息，這一切都是為了取得“獎勵”的必要步驟。

為取得獎勵，必須填寫個人資料與信用卡信息

被害人填寫信用卡信息，并按下發(fā)送，則會收到要求填寫手機(jī)短信驗證碼認(rèn)證;若再配合輸入短信驗證碼，則后續(xù)來的不是航空公司的獎勵，而是一連串刷卡通知。此時，信用卡已經(jīng)正式遭到盜刷!提醒大家在使用填寫一些公共郵箱的問卷調(diào)查時，請注意自己最近是否有使用過相關(guān)產(chǎn)品，填寫信息時注意信息合理性，特別是手機(jī)驗證碼等信息，加強(qiáng)此類釣魚防范。

與自身業(yè)務(wù)有關(guān)的社交工程攻擊

在企業(yè)加強(qiáng)倡導(dǎo)信息安全觀念的當(dāng)下，收到與自己業(yè)務(wù)無關(guān)或與自身習(xí)慣使用語言不同的郵件，多半會有所警覺，并且不會打開相關(guān)附件內(nèi)容。但若出現(xiàn)與自身業(yè)務(wù)相關(guān)，內(nèi)容也使用自身習(xí)慣用語撰寫的惡意郵件，該如何提防呢?

在第三季度出現(xiàn)許多假借業(yè)務(wù)咨詢、保費(fèi)、客服等問題，卻夾帶攻擊文檔的惡意郵件。這些惡意文檔，都以壓縮文件的方式夾帶一個可執(zhí)行文件，并且將圖示或擴(kuò)展名，試圖偽造為 PDF 文件檔。

假借業(yè)務(wù)詢問，卻夾帶攻擊檔案的惡意郵件

雖然這些假借業(yè)務(wù)咨詢、保費(fèi)、客服等問題郵件在內(nèi)的社交工程手法類似，但郵件中所附帶的惡意軟件并沒有明確的關(guān)聯(lián)性，部分惡意軟件也會以壓縮文件加密的方式躲避掃描;運(yùn)行時攻擊目的也有所不同，目前只發(fā)現(xiàn)攻擊Windows的樣本。防范這類郵件，建議不要隱藏擴(kuò)展名、不要運(yùn)行解壓縮后文件名不明的 .exe檔案。

郵件壓縮包炸彈，癱瘓過濾系統(tǒng)

Microsoft Office自2007版本之后，提供了新的文件包裝格式，使用XML體系結(jié)構(gòu)和ZIP壓縮將文檔、公式、VBA等內(nèi)容儲存到行和列的組織，常見格式附文件名為.docx、xlsx、pptx、xlsm…等。我們發(fā)現(xiàn)這個ZIP的包裝結(jié)構(gòu)，與早期的壓縮文件炸彈手法進(jìn)行結(jié)合，用以干擾電子郵件的內(nèi)容掃描機(jī)制。

電子郵件中一個.xlsm的附件文檔，大小約為2mb，之中摻入了壓縮文件炸彈的手法

將這個 .xlsm解壓縮后，產(chǎn)生三個OLE對象的 .bin文檔，其中較小的兩個檔案，是由VBScript寫成的惡意軟件主體內(nèi)容下載器，執(zhí)行結(jié)束后會自我清除;oleObject3.bin則是透過CVE-2017-11882的方程式漏洞去執(zhí)行前述的 VBScript。而oleObject3解壓縮后的大小約為2GB，由于這個文檔大小過大，會對某些掃描機(jī)制產(chǎn)生干擾，也可能造成掃描時暫存空間瞬間用罄，導(dǎo)致非預(yù)期的問題。

oleObject3.bin壓縮文件炸彈膨脹后的大小約為2GB

結(jié)語

攻擊者如何發(fā)送惡意郵件到目標(biāo)對象的信箱?主要兩種方式，一種是以字典文件針對一個域名持續(xù)嘗試;另一種，則是根據(jù)暴露于網(wǎng)絡(luò)上的數(shù)據(jù)，以及遭到外泄的數(shù)據(jù)庫。以字典文件嘗試發(fā)送的方式，多半具有較低的針對性，容易偵測出嘗試的行為并加以阻斷;較為危險及常被忽視的會是后者。根據(jù)暴露于網(wǎng)絡(luò)上的數(shù)據(jù)，以及遭到外泄的數(shù)據(jù)庫名單所發(fā)送的攻擊信件，多半還伴隨有該郵件地址擁有者的其它相關(guān)資料，如：個人信息、興趣、其他聯(lián)系信息等等，能夠用于更有針對性且為受害目標(biāo)量身打造的攻擊。

因此，在使用電子郵件地址申請任何服務(wù)時，最好能依功能分類，或區(qū)分使用私人郵箱注冊和公司郵箱注冊，用以區(qū)別收件來源的重要性，必要時也可以關(guān)閉不用的私人郵箱，避免信息關(guān)聯(lián)，將自己徹底從攻擊者的名單中移除。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文