一、季度亮点
1.1 垃圾邮件中的个人数据
我们常说,个人数据就是诈骗犯的棒棒糖,每个人都应该保证个人数据的安全(就是说,千万不要在可疑网站上提交个人数据)。如果犯罪分子得到了你的数据,他们就会用来访问你的个人账户,还会发起针对性攻击和勒索软件攻击。
在第三季度,我们在垃圾邮件中发现了大量的诈骗邮件。我们曾在今年初报告过这种类型的诈骗活动:要挟受害人支付一笔赎金(以阅批支付),否则就公开与受害人有关的“损害性证据”。新一波攻击浪潮中的诈骗邮件包含用户的真实个人数据(姓名、密码还有电话号码),犯罪分子利用这些信息恐吓受害者,让他们相信自己手中握有真实的证据。该诈骗活动分为数个阶段,犯罪分子很可能是利用了多个个人信息数据库。证据就是,在不同阶段的诈骗活动中受害者电话号码的格式是不同的。
以前,攻击目标主要是英语用户,但在9月份我们观察到其它语言的一个大爆发,包括德语、意大利语、阿拉伯语,还有日语。
犯罪分子勒索的赎金从几百美米到数千美米不等。不同的邮件中使用的付款地址(阅批钱包地址)都不相同。在7月份,其中一个钱包收到了17笔交易,交易总额超过了3阅批(以当时的价格计算,约为1.8万美米)。
犯罪分子的阅批钱包收到的交易
还是在第三季度,我们检测到一个针对企业用户的恶意垃圾邮件活动。犯罪分子的主要目的是窃取密码(例如浏览器密码、即时消息应用、电子邮件客户端、FTP客户端以及加密货币钱包的密码等)。为了达到这一目的,犯罪分子将恶意软件Loki Bot封装成ISO文件,附加在邮件的附件中。这种钓鱼邮件看起来类似于商业信函或是来自于可信公司的通知函。
1.2 针对银行业的恶意垃圾邮件攻击
僵尸网络Necurs曾被发现在第二季度分发携带恶意IQY(Microsoft Excel Web查询)附件的垃圾邮件,但现在它已经将兴趣转移至银行业。同第二季度一样,Necurs分发的垃圾邮件中包含另一种非典型的文件格式,这一次是PUB(Microsoft Publisher)格式。这些垃圾邮件被发送到不同国家的信贷机构的邮件地址,其PUB附件中包含用于下载和执行恶意软件的木马下载器(被检测为Backdoor.Win32.RA-based)。
我们观察到Necurs的所有者正越来越多地使用各种技术来绕过安全解决方案,并在恶意垃圾邮件中包含非典型扩展名的附件,以免引起用户的怀疑。
1.3 以新iPhone为主题
在第三季度末尾Apple发布了最新的产品。不出意料地,一波与之有关的垃圾邮件高潮也出现了。这些垃圾邮件伪装成来自中国的“公司”,向用户提供一些Apple的配件或小玩意儿。邮件中的链接通常指向一个新创建的在线商店。不用多说,如果您在这种没准儿第二天就没了的网站上购物,那肯定是钱货两空。
伴随着Apple发布会到来的,还有利用Apple(及其服务)的钓鱼攻击模式的增长,以及携带恶意附件的垃圾邮件数量的增长:
1.4 以违禁药品为主题的传统垃圾邮件的新伪装
垃圾邮件发送者一直在锲而不舍地寻找绕过邮件过滤措施和增加垃圾邮件“可交付性”的方法。为了达成这一目的,他们尝试制作看起来像是来自于知名公司和服务的垃圾邮件(不仅是从内容上,而且是从技术上)。例如,他们照搬了银行等通知服务的邮件布局,并在显眼的位置添加真实的标题。
这种典型的钓鱼技术越来越多地被用在“传统的垃圾邮件”中 – 例如,在那些提供违禁药品的垃圾邮件中。举例而言,本季度我们曾检测到伪装成来自大型社交网络(包括LinkedIn)的通知的垃圾邮件。我们本以为这些邮件中的虚假链接指向的是一个窃取个人数据的钓鱼网站,结果它是一个网上药店。
垃圾邮件发送者开始使用这种新伪装的原因是,它们传统的垃圾邮件类型在很早之前就会被反垃圾邮件系统给识别出来和过滤掉。我们预计这一趋势还会继续增强。
1.5 针对大学
随着新学年的开始,犯罪分子对获得大学网站账户的访问权限的兴趣有所增长。我们观察到针对16个国家的131所大学的攻击活动。犯罪分子不仅仅想要窃取个人数据,还瞄准学术研究成果。
针对大学网站的钓鱼登录页面
1.6 针对求职者
为了获取个人数据,攻击者还会利用求职者的努力。这些钓鱼页面上会提供诱人的工作职位,包括大公司的职位、高额的薪水等等,诱使受害者填写页面上的工作申请表格。