一、本季度重点关注

1.1 情人节相关钓鱼活动

在每年的第一季度,都有一些网络钓鱼活动与情人节主题相结合,其目标在于窃取用户有价值的机密信息,例如银行卡的详细信息。网络犯罪分子通常会利用在线花店和交友网站作为诱饵,开展网络钓鱼活动。

最常见的网络钓鱼方式是投放广告,邀请用户为亲人订购礼物,或者邀请用户购买一些药物。一旦用户受到诱导,点击此类邮件中的链接,则他们的详细付款信息将会被发送给网络犯罪分子。

1.2 新推出的Apple产品

在3月下旬,Apple推出了最新款产品,网络诈骗组织也随之伺机而动,迅速投身于此类诈骗活动之中。诈骗者往往会首先创建一个与官方Apple服务高度相似的虚假网站,然后将用户重定向该网站。根据我们的统计,此类诈骗方式的尝试次数呈大幅增长趋势。

将用户重定向到网络钓鱼Apple网站的次数呈现增长趋势:

伪造的Apple ID登录页面:

诈骗者通过网络钓鱼电子邮件的方式实现第一步诈骗,这些邮件看似来自Apple官方,试图欺骗收件人点击链接,并在伪造的Apple ID登录页面上输入登录凭据。

1.3 虚假的技术支持

虚假的客户支持电子邮件,通常是最受欢迎的线上欺诈类型之一。近期,这一类型的消息数量呈大幅增长趋势。在一些技术论坛和社交网络中,都可以看到虚假的技术支持网站的链接,并且后面往往还伴随着诸多好评。

伪造的“卡巴斯基实验室支持服务”帐户:

在Q1,我们监测到的所有虚假技术支持,都有一个共同特点——它们会在与某家公司货某个产品相关的事务上提供帮助,并承诺由经过专门培训、高服务质量的员工提供帮助。毋庸置疑,此类“帮助”并不是免费的。不仅用户的问题无法得到解决,并且用户可能会受到进一步的欺骗。

1.4 新Instagram“功能”

自去年,我们发现,网络钓鱼攻击者和其他诈骗着已经不再局限于邮件领域,开始转战流行的社交网络Instagram之中。在本季度,这样的趋势仍在继续,欺诈者充分利用IG这项服务,不仅在评论中发送网络钓鱼的链接,此外还注册帐户,发送付费广告帖文,甚至还诱导知名人士分发恶意内容。

网络犯罪者借助相同的手段,以承诺的产品或服务来吸引受害者,而这些产品或服务的价格通常比较低廉。

像往常一样,在这些恶意活动中,诈骗者要求买方提供姓名、银行卡信息等详尽的资料。毫无疑问,用户在提交这些信息后,他们的个人数据将会被泄露到攻击者那里。

1.5 邮件网络钓鱼

在第一季度,我们以自动提醒的形式注册了几个网络钓鱼邮件,这些邮件伪装成管理合法邮件列表的主要服务。诈骗者通常以“验证帐户”或“更新付款信息”为借口,诱导收件人点击网络钓鱼链接。其中,一些虚假域名所使用的名称与真实服务的域名类似,还有一些网站会将受害者重定向到虚假的授权表单。

1.6 通过ACH系统发送金融垃圾邮件

在第一季度,我们观察到针对自动清算所(ACH)用户的垃圾邮件呈大幅增加的趋势,ACH是一个处理消费者与美国小型企业交易的电子支付系统。在这些邮件中,包含关于普通用户或公司所谓的转账状态的虚假通知。此类邮件中包含恶意附件(压缩包或文档格式)以及下载被恶意软件感染的文件的链接。

1.7 理想的工作Offer

在Q3,我们发现了一些包含理想的工作Offer的垃圾邮件。在本季度,我们发现了另一个主要的邮件类型——以知名公司的名义,发送Offer邮件,从而吸引大量潜在的申请者。诈骗者邀请收件人在他们的计算机上安装一个特殊的应用程序,从而免费注册求职系统,以访问数据库。当受害者尝试从“云服务”下载程序时,将会向用户弹出一个标题为“DDoS Protection”的弹出窗口,以及一个指向在线招聘公司网站的链接的消息(其中包含了一些受欢迎的企业名称)。一旦用户相信,就会将包含Trojan.MSOffice.Sagent.gen的恶意Word文档下载到计算机上,然后会进一步将Trojan-Banker.Win32.Gozi.bqr下载到受害者的计算机上。

1.8 勒索软件和加密货币

正如我们所预料的那样,网络犯罪者对加密货币的兴趣并没有减弱。垃圾邮件发送者持续通过“sextortion”的方式,诱使用户支付加密货币,这也是我们在去年所讨论过的一个话题。

在2019Q1,我们发现了一个非常值得特别关注的诈骗邮件计划,网络犯罪分子以中央情报局为名义发送邮件,声称可以访问收件人的案件档案,并声称这些收件人涉嫌涉及与未成年人色情相关的案件。

在邮件中,他们虚构了一些机构的员工姓名,其姓名在不同的邮件中有所不同,他们声称已经在案件的档案中发现受害者的详细信息(实际上是从社交网络、在线聊天或论坛中收集的)。诈骗者声称这是在全球27个国家中逮捕2000多名恋童嫌疑人的国际行动的一部分。然而,这名“机构员工”碰巧知道受害者比较有钱,需要保护自己的声誉,因此勒索其支付10000美元的等值比特币。

诈骗者利用了人们担心个人隐私被泄露的心理,采用了与去年相同的技巧,在勒索邮件中提及了访问个人数据、发现色情信息等内容。但这一次,为了使勒索邮件更具说服力和恐吓性,诈骗者使用了“中央情报局官员”这样的名义实施诈骗。

1.9 针对企业合作伙伴的恶意攻击

在Q1,Runet的合作伙伴遭受到恶意垃圾邮件的攻击。邮件的内容模范了真实的商业信函,而这些信息看似是来自受害者企业的合作伙伴。

我们还观察了恶意邮件的内容,这些恶意邮件以提供信息服务的美国公司为名义,通过分发虚假信息的方式来窃取国际公司的财务信息。除了附件之外,邮件中不包含任何内容。之所以不填写正文,实际上是为了诱导更多的受害者打开包含Trojan.MSOffice.Alien.gen的附件,随后在计算机上下载并安装Trojan-Banker.Win32.Trickster.gen。

1.10 针对银行业的攻击

银行已经逐渐成为网络钓鱼的最高级目标。诈骗者不断尝试,将合法域名替换为发件人的地址,复制合法电子邮件的布局格式,并设计合理的借口来尽可能地使他们的虚假邮件变得可信。在第一季度,网络钓鱼者利用一些知名的事件来说服受害者打开邮件。例如,他们在邮件中插入了一个关于基督城恐怖袭击的短语。攻击者希望借助这种方式,再加上以新西兰银行作为发件人的名称,能够增强邮件的可信度。在邮件的正文中,声称该银行已经引入了一些新的安全功能,需要更新帐户详细信息后才可以使用。

该链接将用户导向到一个仿冒新西兰银行登录页面的网络钓鱼站点。在单击“登录”按钮后,站点上输入的所有数据都将被传送给网络犯罪分子。

二、统计:垃圾邮件

2.1 电子邮件通信中垃圾邮件占比

全球邮件通信中的垃圾邮件占比(2018Q4与2019Q1对比):

在2019年第一季度,3月份的垃圾邮件占比最高,达到56.33%。全球邮件通信中垃圾邮件的平均百分比为55.97%,几乎与2018年第四季度相同(增长0.07个百分点)。

Runet邮件通信中垃圾邮件占比(2018Q4与2019Q1对比):

1月份,俄罗斯互联网通信中垃圾邮件数量到达峰值(56.19%)。该季度的平均值为55.48%,与2018年第四季度相比增长2.01个百分点。

2.2 国家分布

2019年第一季度垃圾邮件来源国家分布:

最主要的垃圾邮件来源国家为中国(15.82%)和美国(12.64%)。以往位于第三名的德国在本季度中排名第五(5.86%),取而代之的是俄罗斯(6.98%)。巴西(6.95%)排名第四,法国(4.26%)排名第六,接下来分别是阿根廷(3.42%)、波兰(3.36%)、印度(2.58%)和越南(2.18%)。

2.3 邮件大小分布

垃圾邮件大小分布图(2018Q4与2019Q1对比):

在2019年第一季度,较小的垃圾邮件(小于2KB)占比与2018年第四季度相比增长了7.14个百分点,占比73.98%。2-5KB的邮件占比下降至8.27%,下降3.15个百分点。10-20KB邮件占垃圾邮件通信的5.11%,与2018年第四季度相比增长1.08个百分点。大小为20-50KB的邮件占比达到3.00%,与2018年第四季度相比增长0.32个百分点。

2.4 邮件附件中恶意软件分布

邮件流量中排名前十的恶意软件家族(2019年第一季度):

在2019年第一季度,邮件通信中最常见的恶意软件是Exploit.MSOffice.CVE-2017-11882,占比7.73%。排在第二位的是Backdoor.Win32.Androm,占比7.62%。Worm.Win32.WBVB(4.80%)位居第三名。接下来,Office的另一个漏洞利用Exploit.MSOffice.CVE-2018-0802占比2.81%位居第四名,而Trojan-Spy.Win32.Noon(2.42%)则排名第五。

2.5 目标国家(地区)分布

恶意邮件针对的目标国家/地区(2019年第一季度):

根据邮件反病毒系统的统计结果,德国(11.88%)再次进入目标国家的第一名,其次是越南(6.24%),接下来是俄罗斯(5.70%)。

三、统计:网络钓鱼

在2019年第一季度,反网络钓鱼系统共阻止了111832308次将用户引导至诈骗网站的尝试。在全球范围中,有12.11%的卡巴斯基实验室用户遭受了此类攻击。

3.1 地理位置分布

在2019年第一季度,遭受网络钓鱼攻击的用户所占比例最大的国家是巴西,占21.66%,与上一季度相比上升1.53个百分点。

网络钓鱼攻击地理分布:

排名第二的是澳大利亚(17.20%),上升2.42个百分点。西班牙的排名提升1位,占比为16.96%,增长0.87个百分点,且略高于葡萄牙(16.86%)和委内瑞拉(16.72%),位居前五。

3.2 组织分布

基于卡巴斯基实验室反网络钓鱼组件的检测结果,我们对网络钓鱼者针对不同组织的攻击进行了评级。当用户尝试通过单击电子邮件或社交媒体消息中的链接,或因恶意软件活动而打开网络钓鱼页面时,该组件都将会被激活。在触发组件后,浏览器中会显示一个横幅,警告用户可能存在威胁。

本季度,银行业仍然占据被攻击次数排名的首位,对信贷组织的攻击比例增长了5.23个百分点,去年第四季度占比为25.78%。

遭受网络钓鱼攻击的组织分布(2019年第一季度):

第二名是全球互联网门户网站(19.82%),而支付系统则排名第三(17.33%)。

四、结论

在2019年第一季度,全球邮件通信中垃圾邮件的平均占比上升了0.06个百分点。与上一季度的报告周期相比,我们的反网络钓鱼系统阻止了超过111832308次到钓鱼网站的重定向活动,该数值增长了35220650次。

如本文前面所述,诈骗者仍然不断尝试利用热点媒体事件(例如:Apple新产品发布、新西兰恐怖袭击)来实现自己的目的。此外,Sextortion并没有消失,而相反,为了使其更加可信,网络犯罪分子已经编篡了关于邮件发送者的新背景故事。

最重要的是,攻击者持续使用社交网络来实现他们的恶意活动,并利用知名人士发布广告活动,从而扩大这些恶意活动的影响范围。

https://securelist.com/spam-and-phishing-in-q1-2019/90795/

声明:本文来自嘶吼专业版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。