【报告分享】卡巴斯基年度报告系列(二)-2018年垃圾邮件与钓鱼攻击

发布时间 2019-04-26

一、年度数字



? 垃圾邮件占整体邮件流量的52.48%,比2017年减少4.15个百分点。
? 2018年最大的垃圾邮件来源国是中国(11.69%)。
? 74.15%的垃圾邮件小于2KB
? 垃圾邮件中最常见的漏洞利用是Win32.CVE-2017-11882。
? 反钓鱼系统共被触发482,465,211次。

? 18.32%的用户遭到钓鱼攻击。



二、垃圾邮件与全球事件



2.1 GDPR


仅在2018年的头几个月,大家就检测到大量与欧盟通用数据保护法规(GDPR)有关的垃圾邮件,主要是B2B垃圾邮件 – 邀请用户参加说明GDPR来龙去脉及对业务影响的付费研讨会、网络研讨会等。


在此期间,相关话题的合法邮件也在增长。在新法规的要求下,企业通知用户它们将向GDPR新政策进行过渡,并要求获得存储和处理其个人数据的许可。犯罪分子利用这一时机,发送大量要求更新账户信息的GDPR相关钓鱼邮件,以窃取主要是金融机构/IT服务的用户的相关数据。
 

GDPR相关主题的钓鱼邮件


2.2 2018年FIFA国际足联世界杯


FIFA国际足联世界杯是2018年的媒体头条之一,攻击者也没有错过这一主题,他们采用了多种典型的社交工程攻击手段,包括创建虚假的FIFA合作商网站、实施针对性攻击以及创建虚假的fifa.com登录页面等。



国际足联世界杯门票及旅行赠品的钓鱼邮件样本


2.3 新苹果的发布


按照惯例,苹果新品的发布总会引起垃圾邮件的激增,可以想象的到,还是来自中国的配件和装饰品企业,虽然这些新创建的在线商店在你付款时很友好,但发货时就不一样了。


这次发布会“恰逢”利用苹果品牌分发恶意App的钓鱼攻击的增长:



2.4 恶意App与企业


2018年,垃圾邮件中的恶意邮件数量比2017年减少了1.2倍;在卡巴斯基客户中,邮件反病毒系统被触发了120,310,656次。



2018年卡巴斯基邮件反病毒系统的触发次数


2018年继续见证了垃圾邮件注重细节的趋势。为了模仿商业邮件,犯罪分子在细节上注重利用企业的真实信息,例如logo和签名。为了绕过安全措施(以及欺骗用户),犯罪分子使用了各种非典型的垃圾邮件附件格式,包括ISO、IQY、PIF和PUB附件。


信贷机构仍然是最受欢迎的目标之一,这一趋势很可能在2019年继续。大家预计针对企业的整体攻击数量还会上升。


 

2.5新的分发渠道


大家曾提到过钓鱼攻击及其它欺诈性攻击的内容早已不限于通过邮件分发。犯罪分子不仅在测试新的交付手段,还在利用受害者自身来传播恶意内容。2018年最大的一些攻击就利用了聊天应用和社交网络。


钓鱼邮件的“自我传播”类似于很久以前的连锁信,即利用实际不存在的赠品或报酬诱使用户在社交媒体上发布或向朋友转发该信息。2018年初,犯罪分子就曾利用过免费的机票作为诱饵,随后又伪装成零售商、餐馆、商店和咖啡店分发赠品。WhatsApp成为分发此类信息的最佳渠道。


2.6加密货币与垃圾邮件


2018年,犯罪分子对加密货币的兴趣非但没有减弱,反而有所上升。其中一些垃圾邮件是欺诈性的,犯罪分子试图诱使目标向其加密货币钱包进行转账。


其中一种最为流行的欺诈手段是“sextortion”(性欺诈)。在这种骗局中,犯罪分子声称拥有受害者的私密信息,要想不被泄露,就必须要向指定的加密货币地址汇款。通常情况下,犯罪分子会利用受害者的真实身份信息进行恐吓,例如姓名、密码、电话号码等,使得这种骗局格外可信。这些身份信息来自于越来越多的数据泄露事件,由于数据真实可信,受害者往往陷入恐慌之中,不得不满足犯罪分子的要求。2018年,这种骗局勒索的赎金从几百到数千美金不等。


最初,这种邮件主要针对英语受众,但在第三季度末,大家观察到针对其它语言的攻击浪潮,包括德语、意大利语、阿拉伯语、日语、法语和希腊语等。


 

犯罪分子也没有忘记其它诈骗手段。在2018年,大家观察到伪装成大型慈善机构的欺诈邮件,这些邮件要求购买一些数据来为儿童捐款。所有这些欺诈方式都有一个共同点:付款必须通过加密货币。应该注意的是,与sextortion相比,这些诈骗信息要少很多。


 

2019年,犯罪分子将会继续利用加密货币进行欺诈。大家认为针对加密货币及相关个人账户的欺诈邮件会继续增长。



三、钓鱼攻击



3.1 加密货币


加密货币仍是最常见的钓鱼主题之一。在2018年,大家的反钓鱼系统共阻止了410,786个将用户重定向到钓鱼站点的攻击尝试,这些钓鱼站点包括虚假的加密货币钱包、交易所以及加密货币平台等。犯罪分子积极利用虚假的登录页面来骗取用户的凭据。



2018年的另一个热门话题是虚假ICO(代币首次发行)。犯罪分子通过邮件和社交媒体帖子来邀请受害者参与虚假ICO投资。其中一个案例很值得注意:代币buzcoin是以俄罗斯歌手Olga Buzova命名的加密货币,犯罪分子设法取得了该项目的邮件列表,并在官方ICO的前一天向这些订阅者发送了虚假的ICO邀请,这样,在真正的ICO开始之前,犯罪分子已经骗走了大约1.5万美金。


但在2018年初,Telegram创始人Pavel Durov发起的区块链项目TON成为犯罪分子最喜欢的目标。在2017年底,关于Telegram ICO的流言甚嚣尘上。尽管Pavel本人在社交媒体上警告了大家,但仍有大量的人坠入骗局,造成金钱损失。



3.2 彩票与有奖调查


另一种钓鱼骗局是中奖彩票及有奖调查。在2018年,大家的安全产品共阻止了3,200,180个将用户重定向至此类欺诈网站的攻击尝试。


为了参与抽奖,受害者必须要先做出贡献:付出越多,收获越大(如果有收获的话)。有奖调查的模式也差不多,你需要先交一笔钱作为“手续费”,然后就会拿到奖励,至少它们承诺如此。


 

3.3 大学


犯罪分子不仅追求金钱,还渴求常识:在2018年,大家共检测到针对16个国家的131所大学的钓鱼攻击。其中一半多(83所)的大学位于美国,其次是英国(21所)、澳大利亚(7所)和加拿大(7所)。一个著名的事件是从英国的几所大学中窃取了数百万份文件(包括核能研究有关的)。


 

3.4 税务


在2018年第一季度(在许多国家也是财年的最后一个季度),大家观察到大量伪装成HMRC (英国)、IRS(美国)和其它国家税务署的钓鱼网站。犯罪分子试图窃取用户的个人数据、安全问题的答案以及银行账户信息等数据,其中一些网站还用于分发恶意App。


 

假冒税务网站


3.5 HTTPS


和大家一年前的报告一样,使用SSL证书的钓鱼网站的数量不断增长。在某种程度上,这与HTTPS的广泛采用有关,人们更加信任拥有证书(以及绿色小挂锁)的网站。但对于有能力的犯罪分子而言,获得证书并不困难。Chrome在2018年9月的版本中对这一问题采取了一定的措施,该浏览器现在不再在地址栏显眼的位置显示绿色小锁和“安全”标志了,而是对未使用HTTPS的网站显示“不安全”的标志。


3.6 销售旺季


每年的11月份都是销售旺季的开始,首先是世界购物日,然后是黑色星期五。犯罪分子对此早有准备,并在销售季开始的很久之前就大规模攻击。根据大家的统计,利用营销主题将用户重定向至欺诈网站的攻击数量在10月底就开始上升。



犯罪分子利用常见的手段来窃取受害者的个人信息和金钱,包括建一个虚假购物网站,上面的商品都打折销售。




四、统计数字 - 垃圾邮件



4.1 垃圾邮件的流量占比


2018年的电子邮件流量中垃圾邮件占比为52.48%,下降了4.15个百分点。



2018年全球电子邮件流量中垃圾邮件的比例


份额最低的月份为2018年4月(47.70%),最高的月份为12月(57.26%)。


4.2 垃圾邮件来源国家的分布


2018年的垃圾邮件来源国家排名中,中国(11.69%)战胜了美国(9.04%)成为领跑国家,后者降至第二。德国(7.17%)从第六爬升至第三。


去年排名第三的越南下降至第四名(6.09%),随后是巴西(4.87%)、印度(4.77%)和俄罗斯(4.29%)。


法国(3.34%)仍旧排在第八名,但伊朗和意大利离开了榜单,被西班牙(2.20%,从第16名攀升至第九名)和英国(2.18%,增长了0.59个百分点)所取代。



2018年垃圾邮件来源国家的分布


4.3垃圾邮件大小


2018年,超小型垃圾邮件(小于2KB)迅猛增长。尽管季度性的下降,但年度数据达74.15%,比上一报告期增长了30.75个百分点。2-5KB的垃圾邮件同样有所增长(增长了5.56个百分点,达10.64%)。


 

2018年垃圾邮件大小的分布


较大一些的垃圾邮件与2017年相比份额显著下降。5-10KB的垃圾邮件份额下降了1.77个百分点,至7.37%;10-20KB的垃圾邮件下降了12.6个百分点,至3.66%。20-50KB的垃圾邮件份额下降最大,下降了18.41个百分点,至2.82%。


4.4 恶意附件


4.4.1 恶意App家族



 

2018年恶意App家族Top10


2018年垃圾邮件中传播最广泛的恶意对象是Exploit.Win32.CVE-2017-11882,它利用了微软 Office中的任意代码实行漏洞。


第二名是Backdoor.Win32.Androm,其功能依据C&C指定下载的附加模块而定,常被用来下载其它恶意App。

Trojan-PSW.Win32.Fareit家族从第五升至第三,其主要任务是窃取数据,包括Cookie、FTP密码、邮箱密码等,并发送至犯罪分子的服务器。该家族的部分成员也可以下载和运行其它恶意App。


Worm.Win32.WBVB家族保持在第四,其可实行文件是用Visual Basic 6(包括P代码和本机代码模式)编写的。


第五名是Backdoor.Java.Qrat家族 – 这是一个Java编写的跨平台多功能后门,并在暗网上作为恶意App即服务(MaaS)进行出售。它通常通过邮件中的JAR包附件传播。


第六名是Trojan-Downloader.MSOffice.SLoad,这是一个包含恶意脚本的DOC/DOCX文档,常被用于下载和运行勒索App。


间谍AppTrojan-Spy.Win32.Noon排名第七。


Trojan.PDF.Badur下降一名,排名第八,这是一个包含恶意网站链接的PDF文档。


Trojan.BAT.Obfus家族获得第九名,这是经过混淆的BAT脚本,用于修改系统安全设置及运行恶意App。

与2017年一样,第十名仍是downloader家族Trojan.Win32.VBKrypt。


4.5 垃圾邮件目标国家/地区的分布


和往年一样,2018年的第一名是德国,其份额占所有攻击的11.51%。第二名是俄罗斯(7.21%),第三名是英国(5.76%)。


 

2018年垃圾邮件目标国家/地区的分布


跟在后面的三兄弟是意大利(5.23%)、巴西(5.10%)和越南(5.09%)。只比越南少了1.35个百分点,阿联酋(3.74%)排在第七。第八至第十分别是印度(3.15%)、西班牙(2.51%)和中国台湾(2.44%)。



五、统计数字 - 钓鱼攻击



2018年,卡巴斯基的反钓鱼系统共被触发了482,465,211次,比2017年多了236,233,566次。18.32%的卡巴斯基用户遭到攻击。


5.1 目标企业


对目标企业的分析是基于卡巴斯基反钓鱼系统的启发式组件触发结果进行的。根据卡巴斯基的钓鱼网址数据库,该组件可在用户访问邮件或网页中的钓鱼链接时触发。


5.1.1 目标企业的行业分布


2018年,遭到钓鱼攻击的企业中全球互联网门户网站的份额最大。与2017年相比,其份额下跌了11.23个百分点,至24.72%。排在第二的是银行业(21.70%),下降了5.3个百分点。支付系统(14.02%)排名第三。



2018年钓鱼攻击目标企业的行业分布


5.1.2 目标企业Top3


以下排名根据钓鱼者最常使用的企业名称统计得出(基于启发式组件的触发结果)。与2017年相比,前三名中的企业对象没有变化,但排名重排了,MicroSoft排在第一位。


微软

6.86%

脸书

6.37%

PayPal

3.23%


5.2 地理分布


5.2.1 受攻击的用户比例


受攻击的用户比例最高的国家是巴西(28.28%)。

 



2018年遭受钓鱼攻击的用户比例分布


5.2.2国家排名Top10


国家

%

巴西

28.28

葡萄牙

22.63

澳大利亚

20.72

阿尔及利亚

20.46

留尼汪

20.39

危地马拉

20.34

智利

20.09

西班牙

20.05

委内瑞拉

19.89

俄罗斯

19.76


受攻击用户比例最高的国家Top10


尽管下跌了0.74个百分点,巴西(28.28%)仍排名榜首。同时葡萄牙(22.63%)升至第二(+5.87 p.p.),取代了澳大利亚(20.72%, –1.79 p.p.)。



六、结论



2018年犯罪分子仍在积极关注全球的主要事件,并利用它们达成自己的目的。与加密货币有关的钓鱼攻击稳步增长,并在2019年预计将出现新的骗局。尽管整个加密货币市场处在一个困难时期(价值下跌),犯罪分子仍会从中榨干最后一滴价值。


这一年也表明犯罪分子会继续利用一些年度事件 – 新手机的发布、销售季、纳税退税等。


在恶意内容的分发方式上,一个趋势是转向新的分发渠道。2018年犯罪分子使用一些新的手段(包括实时消息应用和社交网络),一波又一波地分发恶意内容。此外,正如针对大学的攻击所示,犯罪分子不仅寻求新的分发渠道,还追寻新的目标。

原文链接:https://securelist.com/spam-and-phishing-in-2018/89701/