2020年第一季度国外的垃圾邮件和网络钓鱼活动回顾
2020-06-01 11:31:47 Author: www.4hou.com(查看原文) 阅读量:225 收藏

如果一张公园的门票高达475美元,你还会买吗?如果这时旁边有人告诉你有个网站正在出售半价票,你会不会动心?下图正是钓鱼攻击者利用用户贪便宜的心理发起的攻击。

诈骗者试图使他们的网站尽可能接近原始网站,甚至带有票证说明的页面看起来都是真实的。

2.png

如上图所示,伪造的钓鱼网页与原始版本仅有三大区别,实际上只有主页和购票部分可用。

再比如,2020年2月,在举行第92届奥斯卡颁奖典礼的前一夜,网站就会弹出提供免费观看所有提名电影的信息,欺诈者的目标用户是渴望在颁奖之前观看入围电影的用户。

3.png

为了推广这些网站,欺诈者还创建了Twitter帐户,每一部提名电影都有一个推特账号。

4.png

好奇的用户会被邀请访问该资源,在观看了几分钟之后,用户就被要求进行注册,否则就无法继续观看。

5.png

在注册过程中,页面会提示受害者输入其银行卡详细信息,据称是要确认其居住地区不出所料,没过多久,用户的帐户就被盗了,而且电影也不能看。

6.png

用户应警惕在社交网络帖子中使用的短链接,攻击者之所以经常使用它们,是因为这些短的URL其实就是一个诈骗链接,用户一旦链接,就会被定向到恶意网址。

不过,有一些特殊服务可让你检查这些链接背后的内容,通常还会以判定网站内容安全性的形式提供额外的奖励。因此,对来自不受信任来源的链接进行正确检查很重要。

利用ID泄漏的事故

泄漏客户数据的美国公司可能会受到联邦贸易委员会(FTC)的重罚,例如,在2019年,Facebook被罚款50亿美元;但是,数据被盗的用户却不会获得任何赔偿。于是就有诈骗者决定伪装成美国贸易委员会,向受害用户发送虚假的电子邮件来让用户提交个人信息来获取赔偿。

7.jpg

那用户怎样才能知道自己的账户是否发生了泄露?诈骗者为此专门创建了一个查询服务器,不管用户输入什么信息,都会显示其信息被盗,只要信息被盗,就可以要求赔偿了。

不过要获得“赔偿”,受害者的就必须提供他们的名字、电话号码、社交网络帐户、银行卡号等机密信息。为了获得更真实的用户信息,攻击者还会在页面上强制弹出一条警告消息,说明如果使用了不正确的个人信息就得不到赔偿。

8.jpg

为了收到这笔钱,美国公民被要求输入他们的社会安全号码(SSN)。每个人都必须在“我没有SSN”(这些错误是一个很好的假指标)旁边的方框中打勾,然后他们被邀请以9美元的价格“租”一辆SSN。有趣的是,即使用户已经有了一个SSN,他们仍然不断地要求再买一个。

9.jpg

然后,根据用户的位置,将潜在受害者重定向到包含金额和货币的支付页面。例如,俄罗斯的用户被要求用卢布支付。

10.jpg

该骗局采用了传统的方案(在Runet中尤为常见),要求受害者支付一小笔佣金或定金,以换取更大的利益。

利用灾难和大流行

澳大利亚大火

袭击澳大利亚的自然灾害是另一个让骗子发财的机会,例如,一个“尼日利亚王子”风格的电子邮件骗局报告说,一个死于癌症的百万富翁准备捐出她的钱来拯救澳大利亚的森林。受害人被要求通过支付一笔费用或支付一小笔款项来帮助从这位垂死的妇女的账户中提取资金,支付给一名律师的服务费用,他们将在以后得到丰厚的报酬。

11.png

除了虚构的百万富翁外,其他“自然爱好者”也很乐意提供帮助-他们的电子邮件更加简洁,但是作案手段基本上是相同的。

12.png

新冠肺炎

利用COVID-19,子虚乌有的慈善家和垂死的百万富翁们如雨后春笋般出现,为帮助他们撤回本应用于人道主义治疗的资金提供奖励。一些受助人甚至被邀请资助一种神奇疫苗的生产,或参与慈善彩票,据说彩票的收益将分发给受大流行影响的穷人。

13.png

在伪装成医疗人员后,骗子们呼吁受害者将一笔钱转移到消息中指定的比特币钱包中。据称,这笔捐款将用于抗击冠状病毒疫情和开发疫苗,以及帮助疫情受害者。

14.png

在一封电子邮件中,攻击者使用了人们担心感染COVID-19的恐惧。消息来自一位不愿透露姓名的“邻居”自称换了COVID-19,以此威胁收件人,除非后者支付赎金。

15.png

一份伪装成世卫组织的欺诈邮件提供了有关保持COVID-19安全的提示。

16.png

为了获得信息,收件人必须点击指向假冒世卫组织网站的链接。伪造的网站非常接近原始网站,不过还是URL暴露了伪造的信息。这些网络罪犯是为了获得登录世界卫生组织官方网站账户的凭证。在第一次邮件中,只要求用户名和密码,而在以后的邮件中,还要求提供电话号码。

17.png

此外,卡巴斯基实验室的研究人员还发现了一些来自世界卫生组织的电子邮件,其中包含带有恶意软件的文档。要求收件人打开附件(以DOC或PDF格式),据称该附件提供了预防冠状病毒的建议。例如,此消息包含Backdoor.Win32.Androm.tvmf:

18.png

还有其他一些邮件,带有复杂的附件,内容较复杂,包括Trojan-Spy.Win32.Noon.gen:

19.png

另外,在针对企业部门的攻击中,也利用了冠状病毒这一主题。例如,COVID-19在欺诈性电子邮件中被列为推迟发货或需要重新订购的原因。攻击者将这些电子邮件标记为紧急邮件,并要求立即检查附件。

另一封邮件提示收件人查看他们的公司是否在因疫情期间暂停活动的公司名单中,然后要求填写表格,否则公司可能会被暂停营业。据称,公司名单和表格都在邮件附录中。实际上,附件包含Trojan-PSW.MSIL.Agensla.a:

另外,卡巴斯基实验室的研究人员还注册了针对企业用户的网络钓鱼攻击。在伪造的页面上,邀请访问者使用特殊资源来监视世界各地的冠状病毒情况,为此需要受害者公司邮件帐户的用户名和密码。

采取措施抗击大流行使许多人陷入困难的财政状况,许多行业的被迫停工对财务状况产生了负面影响。在这种环境下,提供政府补偿的网站尤其危险。

卡巴斯基实验室的研究人员来自巴西的一位同事发现了一个最新的骗局,关于财务或食品援助的WhatsApp消息似乎来自超市,银行或政府部门。为了获得援助,受害人必须填写所附表格并与一定数量的联系人分享信息。填写表格后,数据被发送给网络罪犯,而受害者被重定向到带有广告的页面,网络钓鱼网站,提供付费SMS订阅的网站或类似网站。

21.png

鉴于提供政府救济的虚假网站数量似乎不断在增加,卡巴斯基实验室的研究人员建议在申请补偿或物质援助时保持谨慎。

由于新冠病毒大流行,对防腐剂和抗病毒药物的需求激增。卡巴斯基实验室的研究人员注册了大量邮件,以享受购买抗菌口罩的优惠。

22.png

在拉丁美洲,WhatsApp的群发信息被用来邀请人们参加酿造公司Ambev的洗手液产品抽奖活动。该公司确实已经开始生产防腐剂和洗手液,但只针对公立医院,因此,赠品显然是一种欺骗行为。

23.png

提供治疗冠状病毒的民间偏方、增强免疫系统的药物、非接触式温度计和试剂盒的虚假网站数量也急剧增加。即使有提供的实物,大多数产品都没有任何认证。

24.png

平均而言,在2020年第一季度,每天涉及的COVID-19的电子邮件占所有垃圾邮件流量的6%左右。超过50%的与冠状病毒相关的垃圾邮件是用英语写的。卡巴斯基实验室的研究人员预计钓鱼网站和与大流行相关的诈骗的数量只会增加,网络犯罪分子将使用新的攻击方案和策略。

统计数据

垃圾邮件在邮件流量中的比例:

27.png

在2020年第一季度,垃圾邮件的最大比例发生在1月(55.76%)。全球垃圾邮件的平均比例为54.61%,比前一个报告期间下降了1.58个百分点。

28.png

在第一季度,垃圾邮件在Runet流量(互联网的俄罗斯部分)中的比例在1月份也达到了峰值(52.08%)。与此同时,2019年第四季度的平均指标仍略低于全球平均水平(下降3.20个百分点)。

各国或地区的垃圾邮件

28.png

在2020年第一季度,俄罗斯的垃圾邮件发送量排在前5位。它占所有垃圾流量的20.74%。排在第二位的是美国(9.64%),其次是德国(9.41%),,第四名是法国(6.29%),第五名是中国(5.22%)。

巴西(3.56%)和荷兰(3.38%)分别排名第六和第七,其次是越南(2.55%),西班牙(2.34%)和波兰(2.21%)紧随其后,排在第九和第十位。

垃圾邮件大小

30.png

与2019年第四季度相比,2020年第一季度非常小的电子邮件(最多2 KB)的比例下降了超过6个百分点,达到59.90%。大小为5-10 KB的电子邮件所占比例为5.56%,比上一季度略有增长。

同时,10-20 KB电子邮件的比例上升到6.36%。大型电子邮件(100-200 KB)的数量也有所增长,在2020年第一季度的比例为4.50%。

电子邮件中的恶意附件

31.png

在2020年第一季度,卡巴斯基实验室的研究人员的安全解决方案共检测到49562670个恶意电子邮件附件,与上一个报告期间的数据几乎相同(2019年第四季度仅检测到314862个恶意附件)。

32.png

在第一季度中,邮件流量普及率排名第一的是Trojan.Win32.Agentb.gen(12.35%),其次是Exploit.MSOffice.CVE-2017-11882.gen(7.94%),第三是Worm.Win32.WBVB.vam(4.19%)。

33.png

关于恶意软件家族,本季度最流行的是Trojan.Win32.Agentb(12.51%),其次是Exploit.MSOffice.CVE-2017-11882(7.98%),其成员利用了Microsoft Equation Editor中的漏洞,Worm.Win32.wbvb(4.65%)位居第三。

被恶意邮件攻击的国家

34.png

西班牙声称,在2020年第一季度,截获的病毒攻击排名全球第一,第二名是德国(8.53%),紧接着是俄罗斯(6.26%)。

网络钓鱼的季度统计

在2020年第一季度,卡巴斯基的反钓鱼系统阻止了119115577次将用户重定向到诈骗网站的尝试。

被网络钓鱼者攻击的用户比例最高的国家是委内瑞拉(20.53%),这已经不是第一次了。

35.png

排在第二位的是巴西(14.95%),第三是澳大利亚(13.71%)。

36.png

受攻击的组织

针对不同类别组织的攻击的评级是基于卡巴斯基产品反钓鱼组件的检测,该组件检测用户重定向到的带有钓鱼内容的页面。不管重定向是通过点击钓鱼电子邮件或社交网络上的消息中的链接,还是恶意程序活动的结果。当组件被触发时,浏览器中就会显示一个警告用户潜在威胁的窗口。

2020年第一季度网络钓鱼攻击的最大比例发生在线购物中(18.12%),全球互联网门户网站排名第二(16.44%),社交网站排名第三(13.07%)。

37.png

总结

根据2020年第一季度的分析结果,卡巴斯基实验室的研究人员预计在可预见的未来,COVID-19主题将继续被网络犯罪分子积极使用。为了吸引潜在的受害者,甚至在伪造页面和垃圾邮件中都会提到这种流行病。另外,该主题也广泛用于提供赔偿和物质援助的欺诈计划中。最重要的是,这种类型的欺诈很有可能会变得更加频繁。

本季度,垃圾邮件在全球邮件流量中的平均占比(54.61%)下降了1.58个百分点,与上一个报告期相比,尝试重定向的总数总计将近1.2亿。

本文翻译自:https://securelist.com/spam-and-phishing-in-q1-2020/97091/如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/9Og8
如有侵权请联系:admin#unsafe.sh