本季亮点

体育相关诈骗活动

今年夏天和初秋举办了一些盛大的国际体育赛事。延期的2020年欧洲足球锦标赛于6月和7月举行,随后同样被推迟的东京奥运会于8月举行。2021年第三季度还举办了几场F1大奖赛。攻击者和奸商们不可能放过这样一个千载难逢的机会。针对想要现场观看活动的粉丝出现了假的售票网站,一些网站强调门票是来自官方的,其票价是实际价格的几倍,但有些网站在拿了钱后就消失了。

诈骗者还瞄准了那些喜欢在家中舒适地在线观看活动的人,建立了提供免费直播的欺诈网站。然而,在点击链接时,用户被要求支付订阅费用。打他们支付时,他们的钱和银行卡详细信息将直接发送给骗子,但并没有看到现场直播或其他类型的广播。这个方案之前已经使用过很多次了,只不过不是应用在体育赛事中,而是提供最热门的电影和电视剧。

足球游戏总是很吸引人,但它有一个缺点:游戏平台会受到黑客的攻击,尤其是在重大足球赛事期间。诈骗者以 2020年欧洲杯锦标赛为诱饵,劫持日本游戏公司科乐美(Konami)的游戏网站上的帐户。攻击者首先会声称为用户提供了与锦标赛有关的巨额奖金。然而,当目标试图领取奖金时,会登陆一个伪造的Konami登录页面。当他们输入凭据后,攻击者就会利用这些信息接管他们的帐户,而奖金就烟消云散了。

“尼日利亚王子”骗局也与第三季度的体育赛事有关。钓鱼邮件谈到了与奥运会相关的赠品中数百万美元的奖金。为了获得奖品,目标被要求填写一份表格并通过电子邮件发送给攻击者。

一些消息与体育界即将发生的事件有关。FIFA世界杯定于遥远的2022年11月至12月举行,但诈骗者已经在开发与之相关的赠品。

除此之外,还有一些不寻常的垃圾邮件,内容是竞标世界杯期间在机场和酒店出售的产品供应。最有可能的情景是,目标会被要求支付一小笔佣金来参与竞标,但没有任何结果。

骗局:与朋友分享

在2021年第三季度,Kaspersky的解决方案阻止了超过560万次指向钓鱼网页的重定向。知名品牌的周年庆成了攻击者最喜欢的话题。根据伪造的网站的公告,宜家、亚马逊、乐购等公司都举办了抽奖活动,以庆祝这一里程碑式的日子。参与者必须进行一些简单的操作,比如进行调查或寻找隐藏的奖品,或向他们的联系人发送有关促销的信息,然后提供支付卡的详细信息,包括CVV代码,以获得奖金。奇怪的是,诈骗者使用了假的纪念日,例如宜家80周年纪念日,这实际上是在两年之后。建议用户查看官方网站上促销信息,而不要轻易相信电子邮件。

还有大量的“假日优惠”,据说是来自俄罗斯主要品牌,其中一些似乎在9月1日或知识日(Knowledge Day)表现得特别慷慨,因为所有俄罗斯学校和大学在暑假结束后都要开学。这些被指控提供巨额资金的公司都以这样或那样的方式与教育有关。与此同时,欺诈计划在很大程度上保持不变,只是在边缘进行了一些小小的修补。例如,假冒的Detsky Mir(儿童世界,一家主要的儿童连锁店)网站承诺提供一大笔钱,但条件是申请人要向20个联系人或5个团体发送关于“促销”的信息。然后付款被延迟了,据称是因为需要将美元兑换成卢布:对于这项操作,“幸运的人”必须支付一小笔费用。

据称俄罗斯主要品牌也有很多“假期优惠”,其中一些公司会特别慷慨地庆祝 9月 1日或知识日(Knowledge Day),届时所有俄罗斯学校都已暑假结束后将要开学。那些捐赠大笔款项的公司都或多或少的与教育行业有关。与此同时,诈骗计划基本保持不变,只是做了一点修改。例如,伪造的Detsky Mir(一家大型儿童连锁店)网站承诺提供相当大的金额,但条件是申请人向20个联系人或5个群组发送有关促销的消息。然后付款被延迟,并称是因为需要将美元兑换成卢布:因此,“幸运的中奖者”必须支付少量费用。

在一个以Perekrestok的名义发放的虚假网站上,获胜者在完成任务后被承诺作为奖励获得一个二维码,据说可以用来在公司的商店购物。请注意,Perekrestok确实向客户发放了带有二维码的优惠券;也就是说,诈骗者试图使电子邮件看起来可信。在尝试检索此代码时,目标可能会被要求支付“佣金”,然后才能使用奖金。还需要注意的是,来自可疑来源的二维码可能会带来其它威胁,比如传播恶意软件或为骗子借钱。

2021年,冒充 cookie销售平台的数量有所增加。诈骗者向用户承诺出售此类数据将获得丰厚的金钱奖励(每天最高5000美元)。那些被报价所吸引并点击链接的人被重定向到一个伪造的页面,该页面声称会从目标的设备中读取cookie以估计其市场价值,而估值通常在700至2000美元之间。为了收到这笔钱,用户被要求将cookie放在拍卖会中,而不同的公司参与了其中。诈骗者保证,数据将流向出价最高的那家公司。

如果目标同意,他们会被要求将他们的付款详细信息与系统中的帐户关联,并为其充值6欧元,还承诺在几分钟内将其连同拍卖所得一起退还。为了充值余额,目标需要在表格中输入银行卡详细信息。自然,他们没有收到任何付款,而且 6欧元和付款详细信息留在了攻击者手中。

请注意,从您的设备出售cookie的想法本身就是有风险的:这些文件可以存储有关您在线活动的机密信息,特别是登录详细信息,让您不必在常用网站上重新输入凭据。

甚至在官方的手机应用程序商店,恶意软件有时也会潜入。因此,本季度出现了一种新的威胁,即可以在此类平台上下载欺诈性的福利支付应用。简介将其描述为帮助用户查找并处理政府福利的软件。发现应付款(假的)后,用户被要求支付与表格注册相关的法律服务,以获得这笔钱。申请表下的众多好评,以及模仿了真实政府网站的设计,增加了可信度。目前通知了有问题的商店,他们删除了欺诈应用。

支持服务垃圾邮件

邀请收件人联系技术支持的邮件仍然是最常见的垃圾邮件。如果说以前这些邮件都是IT主题(Windows问题、计算机上的可疑活动等),那么最近发现了谈论意外购买、银行卡交易或帐户注销请求的电子邮件数量有所增加。最有可能的是,主题的变化是为了覆盖更广泛的受众:有关无意支出和丢失帐户风险的消息比抽象的技术问题更能吓倒用户。然而,骗局的本质保持不变:收件人对他们没有进行的购买或转账的电子邮件感到困惑,试图通过邮件中提供的号码致电支持服务。取消所谓的交易或购买,他们被要求提供网站的登录凭据。之后,这些机密信息直接落入攻击者的手中,使他们可以访问受害者的帐户。

COVID-19

本季度, COVID-19主题注入了新的活力。随着全球范围内的大规模疫苗接种计划,以及引入二维码和证书作为疫苗接种的证据,欺诈者开始出售他们自己的疫苗。还有提供阴性PCR测试证书的流氓网站。目标首先被要求提供个人信息:护照、电话、医疗保单、保险号码和出生日期,然后输入他们的卡详细信息以支付购买费用。结果,所有这些信息都直接流向了诈骗者。

以慷慨的慈善家和提供封锁补偿的大型组织的名义发送垃圾邮件,已经是“尼日利亚王子”骗局的标准变体。

然而,“尼日利亚王子”骗局并不是全部。例如,利用阿根廷BBVA的名义的垃圾邮件,邀请用户通过这家银行申请政府补贴。目标必须打开一个RAR文件,据称其中包含确认赔偿的证书。实际上,存档中包含恶意软件,如Trojan.Win32.Mucc.pqp。

攻击者还使用其他常见的COVID-19主题来诱骗收件人打开恶意附件。特别是有关delta变体传播和疫苗接种的信息。邮件标题是从各种信息源中挑选出来的,之所以被选中,很可能是因为它们有趣的本质。所附文件被检测为Trojan.MSOffice.SAgent.gen,其中包含一个用于运行PowerShell脚本的宏。SAgent恶意软件用于在攻击的初始阶段将其他恶意软件安装到目标系统。

企业隐私

本季度,垃圾邮件出现了一种新趋势,目的是窃取公司账户的凭证,攻击者借此要求收件人付款。但是在访问网站查看付款请求时,目标被要求输入工作帐户登录详细信息,之后,攻击者就会控制这个账户。

统计数据:垃圾邮件

垃圾邮件在邮件中的占比

2021年第三季度,垃圾邮件在全球邮件总量中的占比再次下降,平均为45.47%,比第二季度下降1.09个百分点,比第一季度下降0.2个百分点。

20214月至9月全球邮件中垃圾邮件的占比

7月,该数据跌至2021年初以来的最低值(44.95%),比上半年最平静的3月低0.15个百分点。第三季度垃圾邮件的的峰值出现在8月份(45.84%)。

按国家和地区分类

垃圾邮件最大的来源国仍然是俄罗斯(24.90%),尽管其占比在第三季度略有下降。德国(14.19%)仍然位居第二,而中国(10.31%)在本季度升至第三位,增加了2.53个百分点,同时美国(9.15%)下降了2.09个百分点并跌至第四位,而荷兰则保持在第五位(4.96%)。

2021年第三季度按国家和地区分类的垃圾邮件来源

总体而言,垃圾邮件的前10个来源国家与第二季度相比几乎没有变化。第六位仍然是法国(3.49%)。巴西(2.76%)增加了0.49个百分点,超过了西班牙(2.70%)和日本(2.24%),但前10名成员保持不变。与上一季一样,最后一个是印度(1.83%)。

恶意邮件附件

与第二季度相比,本季度邮件杀毒软件阻止了更多的恶意附件。总计检测到了35,958,888个恶意软件,比上一季度多出170万个。

20214月至9月邮件杀毒软件触发动态

在本季度,邮件杀毒软件触发的数量有所增加:最平静的是7月,拦截了超过1100万次打开受恶意文件的尝试,而最繁忙的月份是9月,拦截了12,680,778个恶意附件。

恶意软件家族

在 2021年第三季度,Agensla家族的木马(9.74%)再次成为垃圾邮件中最常见的恶意软件,占比比上一季度增加了 3.09个百分点,这些木马旨在从目标设备中窃取登录凭据。由各种伪装成电子文档的恶意软件组成的Badun家族占比略有下降,位居第二。间谍软件Noon (5.19%)位居第三,其32位的“亲戚”(1.71%)下降至第九位。与此同时,主要在 Task Scheduler中创建恶意任务的Taskun家族占比略有上升,排名第四。

2021年第三季度邮件中最常见的恶意软件家族TOP 10

在第三季度邮件中最常见恶意软件家族TOP 10中,排名第六的是 CVE-2018-0802漏洞(3.28%),这是一个新增加的漏洞。该漏洞影响到Equation Editor组件,就像排名第五的CVE-2017-11882 (占比3.29%)。第七名是恶意ISO磁盘映像(2.97%),第八名是Androm后门(1.95%)。Agent家族的Loaders排在最后(1.69%)。

第三季度邮件中最常见恶意软件与恶意软件家庭的排名相似。唯一的区别是单个样本中的第九位被信息窃取软件 Trojan-PSW.MSIL.Stealer.gen占据。

2021年第三季度垃圾邮件中最常见的恶意附件TOP 10

恶意邮件的目标国家

在第三季度,西班牙用户的电脑上触发最多次数的邮件杀毒软件。与上季度相比,该国的占比再次小幅增长,达到 9.55%。俄罗斯攀升至第二位,占7月至 9月检测到的所有恶意附件的 6.52%。意大利 (5.47%)位列前三,其占比在第三季度有所下降。

2021年第三季度恶意邮件所针对的国家/地区

巴西 (5.37%)上升至第四位,增长了 2.46%。紧随其后的是墨西哥(4.69%)、越南(4.25%)和德国(3.68%)。阿联酋 (3.65%)跌至第八位。最后是土耳其(3.27%)和马来西亚(2.78%)。

统计数据:钓鱼活动

在第三季度,反钓鱼软件阻止了 46,340,156次打开钓鱼链接的尝试,总共有 3.56%的Kaspersky用户遇到了这种威胁。

地理分布

巴西的受影响用户最多(占比6.63%)。其次为澳大利亚(6.41%)和孟加拉国(5.42%),而以色列(5.33%)从之前的第二位下降到第五位,排在卡塔尔(5.36%)之后。

2021年第三季度网络钓鱼攻击的地理分布

域名

与以前一样,第三季度最常用于托管网络钓鱼页面的顶级域是 COM (29.17%),第二位的是 XYZ(14.17%),其占比增加了 5.66%。之后是CN(9.01%)和TOP(3.93%),而ORG(3.65%)下降了5.14%,跌至第五位。

2021年第三季度最常用于网络钓鱼的顶级域区域

俄罗斯域名 RU (2.60%)在排名第六,最后是 NET (2.42%)、SITE (1.84%)、ONLINE (1.40%)和INFO (1.11%)。

目标组织

全球品牌的门户网站 (20.68%)在最常被攻击者用作诱饵,在线商店(20.63%)以位居第二。与上一季度一样,银行排名第三(11.94%),支付系统排名第四(7.78%)。第五和第六名分别是社交网络和博客(6.24%)以及即时消息(5.06%)。

2021年第三季度网络钓鱼者攻击目标的组织分布(按类别)

第七名为网络游戏(2.42%),金融服务 (1.81%)、IT公司 (1.72%)和电信公司 (1.45%)紧随其后。

消息中的网络钓鱼

2021年第三季度,在WhatsApp消息中检测到并阻止了 106,359个链接(90.25%)。在所有检测到的钓鱼链接中,Viber占 5.68%,Telegram占 3.74%,Google Hangouts占 0.02%。

2021年第三季度被拦截的恶意链接

在 WhatsApp上,本季度平均每天检测到 900个网络钓鱼链接。此外,诈骗活动激增——7月 12日至 16日,系统平均每天阻止 4,000多个链接。这一峰值与 Trojan.AndroidOS.Whatreg.b木马的激增几乎同时发生,该木马可以从受感染的设备注册新的 WhatsApp帐户。目前无法确定这些帐户到底在做什么,以及它们是否与 WhatsApp上网络钓鱼的增加有任何关系,但攻击者可能会使用它们来发送垃圾邮件。

2021年第三季度WhatsApp上的网络钓鱼活动动态

到本季度末,Telegram上的网络钓鱼活动略有增加。

2021年第三季度Telegram上的网络钓鱼活动动态

思考

下个季度,可能会有以圣诞节和新年为主题的邮件。在节日之前,许多人会从网上商店购物,这一点很容易被攻击者利用。在此期间,以不存在的商品或不合格的商品为诱饵的匿名伪造商店很有可能成为流行的诈骗手段。还要提防模仿大牌交易平台的欺诈性网站——这些网站一般会在节日狂潮之前如雨后春笋般涌现。企业用户也应该保持敏锐的眼光——即使是一封看好似来自合作伙伴的祝贺电子邮件,也可能是为了获取机密信息而进行网络钓鱼。

COVID-19话题在下个季度仍将是热门话题。第四波大流行、疫苗接种和许多国家引入 COVID通行证肯定会引起新的恶意邮件。还要留意提供赔偿金的网站:如果以前几个季度为依据,攻击者将继续寻找新的诱人方式来引诱目标。

原文链接

https://securelist.com/spam-and-phishing-in-q3-2021/104741/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。