Dotted Quad垃圾邮件卷土重来,其数量增至上个月的三倍之多。本月观察到最多的邮件主题是Dotted Quad垃圾邮件攻击。从邮件的大小来看,三月份,带附件的垃圾邮件持续增多。这些连同NDR垃圾邮件的增长,提高了邮件的平均大小。5kb至10kb之间的垃圾邮件数量增长了四个百分点,而10kb以上的垃圾邮件数量增长了九个百分点以上。从垃圾邮件类别来看,四月份欺诈和钓鱼邮件占全部垃圾邮件的17%,这与三月份相比未发生变化。总的看来,四月份垃圾邮件占整体邮件数量的89.22%,与三月份的89.34%相比略有下降。
与上个月相比,钓鱼攻击数量增长了33%,原因在于所有行业都受到了钓鱼攻击。12%的钓鱼网站是由自动工具包生成的,与三月份相比增长了77%。特殊URL攻击增长了29%,而IP攻击上升了3%。同时,非英语类钓鱼网站的数量增长了23%,其原因是法语和葡萄牙语钓鱼攻击数量上升了。法语类钓鱼攻击大部分是针对金融行业,而葡萄牙语类攻击则针对金融与信息服务行业。当前被利用的免费Web托管服务数量约为108个,占所有钓鱼攻击数量的10%。
本期报告主要内容:
2010年4月:垃圾邮件主题分析
透视Dotted Quad垃圾邮件
知名快餐连锁店的虚假调查
英国学生遭欺诈攻击
这种趋势还会持续吗?
本月热点事件分析:
2010年4月:垃圾邮件主题分析
本月排名第一的垃圾邮件主题是“Amazon.com本日促销”,它出现在利用Dotted Quad URL发动的在线购药类攻击中。此外,值得注意的是,垃圾邮件发送者大量地使用了这一主题,虽然这一主题只出现了十天,但是它仍占据了第一的位置。除了排名前十位的主题外,还有更多其他的在线购药及假冒商品垃圾邮件。
透视Dotted Quad垃圾邮件
如“这种趋势还会持续吗”与“2010年4月:垃圾邮件主题分析”部分所示,四月份,Dotted Quad垃圾邮件毫无疑问产生了巨大的影响。当垃圾邮件URL链接的Dotted Quad地址应用于垃圾邮件内容部分而不是垃圾邮件URL域名部分时,我们便称此为Dotted Quad垃圾邮件。所谓Dotted Quad地址,指的是由圆点隔开的四个十进制数字序列,代表4字节(32比特)的IP地址。例如,URL中使用的不是domain.com,而链接是个IP地址(如//255.255.255.255)。
以下是一个Dotted Quad垃圾邮件的HTML代码示例:
邮件中提供的链接最终会将用户指引到以下页面:
如浏览器地址栏里所示,用户在点击邮件中提供的链接后被重新指向另一网页。然而,在用户到达最终目的地之前还隐藏着另一步骤。仔细检查邮件中所提供的URL源代码,我们会发现该网页(//[IP ADDRESS REDACTED]/vassal73.html)加载的是另一网站的脚本。
这一脚本最后将用户引向上面的网站。以上示例中仅使用了两次重定向,而垃圾邮件发送者在其攻击中可使用多次重定向。
垃圾邮件发送者为什么要采用这种方法?随着反垃圾邮件技术的发展,即使是最基本的过滤软件也能够阻止邮件中基于URL的信息。因此,如果垃圾邮件发送者仅仅发送包含spam.com域名的URL,该信息很有可能被基于URL的过滤软件阻截。
无论如何,垃圾邮件发送者可以通过以上的重定向来提高成功发送垃圾邮件的机率。垃圾邮件发送者总是利用假冒或者被控制的服务器,并在上面放置可以将用户重定向至目的地或另一个重定向链接的小型HTML文件。要发送这些垃圾邮件,他们还要利用被侵入的主机(通常称为僵尸电脑)以及这些主机的良好声誉。将这两种策略结合起来就会增加成功率,因为这样一来,垃圾邮件避开传统过滤软件及基于信誉的过滤的机率将会增加。
此外,垃圾邮件发送者还可以利用各类被侵入的主机,生成更多的组合可能,从而帮助垃圾邮件发送者在失去某些被侵入主机后仍可以继续发动攻击。
知名快餐连锁店的虚假调查
赛门铁克观察到针对一家著名快餐品牌的钓鱼攻击。这些攻击通过发送垃圾邮件的方式,邀请顾客参与一个虚假的满意度调查。该快餐品牌是全球最受欢迎的快餐连锁品牌之一,因此,攻击者在全球范围发送此种垃圾邮件。垃圾邮件显示,该品牌正计划对其连锁店进行重大改革,以改进自己的服务质量。为了实施这些改革,公司希望通过调查(实际是假的)的形式搜集顾客的意见。为了吸引顾客上钩,攻击者声称将为参与调查的人提供奖励。这种垃圾邮件中含有一个链接,将用户引向一个包含虚假调查的钓鱼网站:
上图所示,钓鱼网站声称为参与到调查中的人提供80美元的奖励,问卷包含八个问题。完成调查问卷后,该网页将用户重定向到一个虚假认证页,并向用户询问一些敏感信息,如信用卡号和个人识别码,以将虚假的奖金打入顾客在该快餐店注册的帐户中。
该网页声称,公司会在用户完成认证后的三个工作日内将奖金转入顾客的帐户中,这也将记录在其账户的历史明细中。
英国学生遭欺诈攻击
垃圾邮件发送者通过对属于英国政府的一个品牌发动钓鱼攻击,将目标对准英国的学生。该合法品牌为英国公民提供政府组织的信息和服务。为了接受高等教育而寻求金融服务的学生们可以在该品牌的网站上进行申请,该帐户可以帮助用户追踪所有的支付交易。
这些针对学生的钓鱼网站,要求学生对提交的信用/贷款申请进行确认。这一虚假的确认请求,目的就在于得到用户的敏感信息,如用户编号、密码以及银行账户明细等。该编号代表用户的帐号,攻击者利用该号码可以浏览用户的账户历史。输入认证后,该网页重定向到合法网站。
我们观察到若干个此类钓鱼网站,这些网站的托管服务器设在美国和英国。
这种趋势还会持续吗?
在一月份的报告中,赛门铁克重点介绍了Dotted Quad垃圾邮件数量的大幅上升。但自那以后,这种类型的攻击相对来说并不活跃。然而,三月末,其数量又开始上升,并延续到整个四月份。总的来看,与三月份相比,四月份的Dotted Quad垃圾邮件数量增长了三倍之多。
EMEA(欧洲、中东、非洲)地区所占的垃圾邮件份额继续扩大,四月份,该地区的垃圾邮件发送数量占全球总数的45.2%。如下表所示,在过去的六个月里,EMEA地区的垃圾邮件发送数量一直在增长。
在EMEA地区,排名垃圾邮件发送数量前十位的国家(荷兰、德国、英国、法国、波兰、意大利、罗马尼亚、西班牙、俄罗斯、乌克兰)占整个地区的65%以上。
附录一:“要”与“不要” 安全秘诀,以应对垃圾邮件,保护你的企业、员工和客户
要:
1.退订你不再希望接收的正常邮件。申请接收邮件时,确定你同时选择接收的其它项目。取消你不想接收的邮件项目。
2.精心选择注册电子邮件地址的网站。
3.避免在互联网上公布自己的电子邮件地址。考虑其它选择 – 例如,订阅邮件时使用其它邮箱地址;不同邮箱地址用于不同目的,或可考虑一次性电子邮件地址服务。
4.使用邮件管理员提供的邮件地址,如果可能的话,报告漏检的垃圾邮件。
5.删除所有的垃圾邮件。
6.不要点击电子邮件或IM信息中的可疑链接,因为它们可能会链接到钓鱼网站。我们建议在浏览器中直接输入网站地址,而不要依赖电子邮件提供的链接。
7.时刻确保你的操作系统已进行实时更新,使用综合安全软件套装。更多有关赛门铁克安全保护产品的详情,请登录公司网站://www.symantec.com。 •
8.考虑采用一个知名反垃圾邮件解决方案,如赛门铁克的Brightmail 邮件安全综合解决方案,以解决整个组织范围的邮件过滤问题。
9.访问赛门铁克的垃圾邮件状态网站,掌握垃圾邮件的最新趋势,网址是://www.symantec.com/spam。
不要:
1.打开未知的电子邮件附件。这些附件可能使你的电脑感染上病毒。
2.回复垃圾邮件。一般来说,发信人的电子邮件地址都是伪造的,回复邮件只会带来更多的垃圾邮件。
3.填写邮件中要求提供个人信息、财务信息或密码的表格。知名公司不可能通过电子邮件形式要求你提供自己的个人详情。如果有疑问,请通过独立的、可信的渠道联系该公司,如通过核实的电话号码,或将已知的网络地址输入到新的浏览窗口(不要点击邮件中链接,或复制粘贴邮件中的链接)。
4.根据垃圾邮件信息购买产品或服务。
5.打开垃圾邮件信息。
6.转发垃圾邮件提供的病毒警告,这些警告通常是圈套。
附录二:本月数据分析参考
图一:垃圾邮件来源地区
图二:垃圾邮件来源地区变化趋势
图三:钓鱼攻击方式的分布
图四:钓鱼攻击的对象分布
附录一:“要”与“不要” 安全秘诀,以应对垃圾邮件,保护你的企业、员工和客户
要:
1.退订你不再希望接收的正常邮件。申请接收邮件时,确定你同时选择接收的其它项目。取消你不想接收的邮件项目。
2.精心选择注册电子邮件地址的网站。
3.避免在互联网上公布自己的电子邮件地址。考虑其它选择 – 例如,订阅邮件时使用其它邮箱地址;不同邮箱地址用于不同目的,或可考虑一次性电子邮件地址服务。
4.使用邮件管理员提供的邮件地址,如果可能的话,报告漏检的垃圾邮件。
5.删除所有的垃圾邮件。
6.不要点击电子邮件或IM信息中的可疑链接,因为它们可能会链接到钓鱼网站。我们建议在浏览器中直接输入网站地址,而不要依赖电子邮件提供的链接。
7.时刻确保你的操作系统已进行实时更新,使用综合安全软件套装。更多有关赛门铁克安全保护产品的详情,请登录公司网站://www.symantec.com。 •
8.考虑采用一个知名反垃圾邮件解决方案,如赛门铁克的Brightmail 邮件安全综合解决方案,以解决整个组织范围的邮件过滤问题。
9.访问赛门铁克的垃圾邮件状态网站,掌握垃圾邮件的最新趋势,网址是://www.symantec.com/spam。
不要:
1.打开未知的电子邮件附件。这些附件可能使你的电脑感染上病毒。
2.回复垃圾邮件。一般来说,发信人的电子邮件地址都是伪造的,回复邮件只会带来更多的垃圾邮件。
3.填写邮件中要求提供个人信息、财务信息或密码的表格。知名公司不可能通过电子邮件形式要求你提供自己的个人详情。如果有疑问,请通过独立的、可信的渠道联系该公司,如通过核实的电话号码,或将已知的网络地址输入到新的浏览窗口(不要点击邮件中链接,或复制粘贴邮件中的链接)。
4.根据垃圾邮件信息购买产品或服务。
5.打开垃圾邮件信息。
6.转发垃圾邮件提供的病毒警告,这些警告通常是圈套。
附录二:本月数据分析参考
图一:垃圾邮件来源地区
图二:垃圾邮件来源地区变化趋势
图三:钓鱼攻击方式的分布
图四:钓鱼攻击的对象分布
更多阅读:
