一、季度亮點(diǎn)
1.1 垃圾郵件中的個(gè)人數(shù)據(jù)
我們常說,個(gè)人數(shù)據(jù)就是詐騙犯的棒棒糖,每個(gè)人都應(yīng)該保證個(gè)人數(shù)據(jù)的安全(就是說,千萬(wàn)不要在可疑網(wǎng)站上提交個(gè)人數(shù)據(jù))。如果犯罪分子得到了你的數(shù)據(jù),他們就會(huì)用來訪問你的個(gè)人賬戶,還會(huì)發(fā)起針對(duì)性攻擊和勒索軟件攻擊。
在第三季度,我們?cè)诶]件中發(fā)現(xiàn)了大量的詐騙郵件。我們?cè)诮衲瓿鯃?bào)告過這種類型的詐騙活動(dòng):要挾受害人支付一筆贖金(以比特幣支付),否則就公開與受害人有關(guān)的“損害性證據(jù)”。新一波攻擊浪潮中的詐騙郵件包含用戶的真實(shí)個(gè)人數(shù)據(jù)(姓名、密碼還有電話號(hào)碼),犯罪分子利用這些信息恐嚇受害者,讓他們相信自己手中握有真實(shí)的證據(jù)。該詐騙活動(dòng)分為數(shù)個(gè)階段,犯罪分子很可能是利用了多個(gè)個(gè)人信息數(shù)據(jù)庫(kù)。證據(jù)就是,在不同階段的詐騙活動(dòng)中受害者電話號(hào)碼的格式是不同的。
以前,攻擊目標(biāo)主要是英語(yǔ)用戶,但在9月份我們觀察到其它語(yǔ)言的一個(gè)大爆發(fā),包括德語(yǔ)、意大利語(yǔ)、阿拉伯語(yǔ),還有日語(yǔ)。
犯罪分子勒索的贖金從幾百美元到數(shù)千美元不等。不同的郵件中使用的付款地址(比特幣錢包地址)都不相同。在7月份,其中一個(gè)錢包收到了17筆交易,交易總額超過了3比特幣(以當(dāng)時(shí)的價(jià)格計(jì)算,約為1.8萬(wàn)美元)。
犯罪分子的比特幣錢包收到的交易
還是在第三季度,我們檢測(cè)到一個(gè)針對(duì)企業(yè)用戶的惡意垃圾郵件活動(dòng)。犯罪分子的主要目的是竊取密碼(例如瀏覽器密碼、即時(shí)消息應(yīng)用、電子郵件客戶端、FTP客戶端以及加密貨幣錢包的密碼等)。為了達(dá)到這一目的,犯罪分子將惡意軟件Loki Bot封裝成ISO文件,附加在郵件的附件中。這種釣魚郵件看起來類似于商業(yè)信函或是來自于可信公司的通知函。
1.2 針對(duì)銀行業(yè)的惡意垃圾郵件攻擊
僵尸網(wǎng)絡(luò)Necurs曾被發(fā)現(xiàn)在第二季度分發(fā)攜帶惡意IQY(Microsoft Excel Web查詢)附件的垃圾郵件,但現(xiàn)在它已經(jīng)將興趣轉(zhuǎn)移至銀行業(yè)。同第二季度一樣,Necurs分發(fā)的垃圾郵件中包含另一種非典型的文件格式,這一次是PUB(Microsoft Publisher)格式。這些垃圾郵件被發(fā)送到不同國(guó)家的信貸機(jī)構(gòu)的郵件地址,其PUB附件中包含用于下載和執(zhí)行惡意軟件的木馬下載器(被檢測(cè)為Backdoor.Win32.RA-based)。
我們觀察到Necurs的所有者正越來越多地使用各種技術(shù)來繞過安全解決方案,并在惡意垃圾郵件中包含非典型擴(kuò)展名的附件,以免引起用戶的懷疑。
1.3 以新iPhone為主題
在第三季度末尾Apple發(fā)布了最新的產(chǎn)品。不出意料地,一波與之有關(guān)的垃圾郵件高潮也出現(xiàn)了。這些垃圾郵件偽裝成來自中國(guó)的“公司”,向用戶提供一些Apple的配件或小玩意兒。郵件中的鏈接通常指向一個(gè)新創(chuàng)建的在線商店。不用多說,如果您在這種沒準(zhǔn)兒第二天就沒了的網(wǎng)站上購(gòu)物,那肯定是錢貨兩空。
伴隨著Apple發(fā)布會(huì)到來的,還有利用Apple(及其服務(wù))的釣魚攻擊模式的增長(zhǎng),以及攜帶惡意附件的垃圾郵件數(shù)量的增長(zhǎng):
1.4 以違禁藥品為主題的傳統(tǒng)垃圾郵件的新偽裝
垃圾郵件發(fā)送者一直在鍥而不舍地尋找繞過郵件過濾措施和增加垃圾郵件“可交付性”的方法。為了達(dá)成這一目的,他們嘗試制作看起來像是來自于知名公司和服務(wù)的垃圾郵件(不僅是從內(nèi)容上,而且是從技術(shù)上)。例如,他們照搬了銀行等通知服務(wù)的郵件布局,并在顯眼的位置添加真實(shí)的標(biāo)題。
這種典型的釣魚技術(shù)越來越多地被用在“傳統(tǒng)的垃圾郵件”中 – 例如,在那些提供違禁藥品的垃圾郵件中。舉例而言,本季度我們?cè)鴻z測(cè)到偽裝成來自大型社交網(wǎng)絡(luò)(包括LinkedIn)的通知的垃圾郵件。我們本以為這些郵件中的虛假鏈接指向的是一個(gè)竊取個(gè)人數(shù)據(jù)的釣魚網(wǎng)站,結(jié)果它是一個(gè)網(wǎng)上藥店。
垃圾郵件發(fā)送者開始使用這種新偽裝的原因是,它們傳統(tǒng)的垃圾郵件類型在很早之前就會(huì)被反垃圾郵件系統(tǒng)給識(shí)別出來和過濾掉。我們預(yù)計(jì)這一趨勢(shì)還會(huì)繼續(xù)增強(qiáng)。
1.5 針對(duì)大學(xué)
隨著新學(xué)年的開始,犯罪分子對(duì)獲得大學(xué)網(wǎng)站賬戶的訪問權(quán)限的興趣有所增長(zhǎng)。我們觀察到針對(duì)16個(gè)國(guó)家的131所大學(xué)的攻擊活動(dòng)。犯罪分子不僅僅想要竊取個(gè)人數(shù)據(jù),還瞄準(zhǔn)學(xué)術(shù)研究成果。
針對(duì)大學(xué)網(wǎng)站的釣魚登錄頁(yè)面
1.6 針對(duì)求職者
為了獲取個(gè)人數(shù)據(jù),攻擊者還會(huì)利用求職者的努力。這些釣魚頁(yè)面上會(huì)提供誘人的工作職位,包括大公司的職位、高額的薪水等等,誘使受害者填寫頁(yè)面上的工作申請(qǐng)表格。
| 
