卡巴斯基：2019年第一季度垃圾邮件与钓鱼攻击报告

一、本季度重点关注

1.1 情人节相关钓鱼活动

在每年的第一季度，都有一些网络钓鱼活动与情人节主题相结合，其目标在于窃取用户有价值的机密信息，例如银行卡的详细信息。网络犯罪分子通常会利用在线花店和交友网站作为诱饵，开展网络钓鱼活动。

最常见的网络钓鱼方式是投放广告，邀请用户为亲人订购礼物，或者邀请用户购买一些药物。一旦用户受到诱导，点击此类邮件中的链接，则他们的详细付款信息将会被发送给网络犯罪分子。

1.2 新推出的Apple产品

在3月下旬，Apple推出了最新款产品，网络诈骗组织也随之伺机而动，迅速投身于此类诈骗活动之中。诈骗者往往会首先创建一个与官方Apple服务高度相似的虚假网站，然后将用户重定向该网站。根据我们的统计，此类诈骗方式的尝试次数呈大幅增长趋势。

将用户重定向到网络钓鱼Apple网站的次数呈现增长趋势：

伪造的Apple ID登录页面：

诈骗者通过网络钓鱼电子邮件的方式实现第一步诈骗，这些邮件看似来自Apple官方，试图欺骗收件人点击链接，并在伪造的Apple ID登录页面上输入登录凭据。

1.3 虚假的技术支持

虚假的客户支持电子邮件，通常是最受欢迎的线上欺诈类型之一。近期，这一类型的消息数量呈大幅增长趋势。在一些技术论坛和社交网络中，都可以看到虚假的技术支持网站的链接，并且后面往往还伴随着诸多好评。

伪造的“卡巴斯基实验室支持服务”帐户：

在Q1，我们监测到的所有虚假技术支持，都有一个共同特点——它们会在与某家公司货某个产品相关的事务上提供帮助，并承诺由经过专门培训、高服务质量的员工提供帮助。毋庸置疑，此类“帮助”并不是免费的。不仅用户的问题无法得到解决，并且用户可能会受到进一步的欺骗。

1.4 新Instagram“功能”

自去年，我们发现，网络钓鱼攻击者和其他诈骗着已经不再局限于邮件领域，开始转战流行的社交网络Instagram之中。在本季度，这样的趋势仍在继续，欺诈者充分利用IG这项服务，不仅在评论中发送网络钓鱼的链接，此外还注册帐户，发送付费广告帖文，甚至还诱导知名人士分发恶意内容。

网络犯罪者借助相同的手段，以承诺的产品或服务来吸引受害者，而这些产品或服务的价格通常比较低廉。

像往常一样，在这些恶意活动中，诈骗者要求买方提供姓名、银行卡信息等详尽的资料。毫无疑问，用户在提交这些信息后，他们的个人数据将会被泄露到攻击者那里。

1.5 邮件网络钓鱼

在第一季度，我们以自动提醒的形式注册了几个网络钓鱼邮件，这些邮件伪装成管理合法邮件列表的主要服务。诈骗者通常以“验证帐户”或“更新付款信息”为借口，诱导收件人点击网络钓鱼链接。其中，一些虚假域名所使用的名称与真实服务的域名类似，还有一些网站会将受害者重定向到虚假的授权表单。

1.6 通过ACH系统发送金融垃圾邮件

在第一季度，我们观察到针对自动清算所（ACH）用户的垃圾邮件呈大幅增加的趋势，ACH是一个处理消费者与美国小型企业交易的电子支付系统。在这些邮件中，包含关于普通用户或公司所谓的转账状态的虚假通知。此类邮件中包含恶意附件（压缩包或文档格式）以及下载被恶意软件感染的文件的链接。

1.7 理想的工作Offer

在Q3，我们发现了一些包含理想的工作Offer的垃圾邮件。在本季度，我们发现了另一个主要的邮件类型——以知名公司的名义，发送Offer邮件，从而吸引大量潜在的申请者。诈骗者邀请收件人在他们的计算机上安装一个特殊的应用程序，从而免费注册求职系统，以访问数据库。当受害者尝试从“云服务”下载程序时，将会向用户弹出一个标题为“DDoS Protection”的弹出窗口，以及一个指向在线招聘公司网站的链接的消息（其中包含了一些受欢迎的企业名称）。一旦用户相信，就会将包含Trojan.MSOffice.Sagent.gen的恶意Word文档下载到计算机上，然后会进一步将Trojan-Banker.Win32.Gozi.bqr下载到受害者的计算机上。

1.8 勒索软件和加密货币

正如我们所预料的那样，网络犯罪者对加密货币的兴趣并没有减弱。垃圾邮件发送者持续通过“sextortion”的方式，诱使用户支付加密货币，这也是我们在去年所讨论过的一个话题。

在2019Q1，我们发现了一个非常值得特别关注的诈骗邮件计划，网络犯罪分子以中央情报局为名义发送邮件，声称可以访问收件人的案件档案，并声称这些收件人涉嫌涉及与未成年人色情相关的案件。

在邮件中，他们虚构了一些机构的员工姓名，其姓名在不同的邮件中有所不同，他们声称已经在案件的档案中发现受害者的详细信息（实际上是从社交网络、在线聊天或论坛中收集的）。诈骗者声称这是在全球27个国家中逮捕2000多名恋童嫌疑人的国际行动的一部分。然而，这名“机构员工”碰巧知道受害者比较有钱，需要保护自己的声誉，因此勒索其支付10000美元的等值比特币。

诈骗者利用了人们担心个人隐私被泄露的心理，采用了与去年相同的技巧，在勒索邮件中提及了访问个人数据、发现色情信息等内容。但这一次，为了使勒索邮件更具说服力和恐吓性，诈骗者使用了“中央情报局官员”这样的名义实施诈骗。

1.9 针对企业合作伙伴的恶意攻击

在Q1，Runet的合作伙伴遭受到恶意垃圾邮件的攻击。邮件的内容模范了真实的商业信函，而这些信息看似是来自受害者企业的合作伙伴。

我们还观察了恶意邮件的内容，这些恶意邮件以提供信息服务的美国公司为名义，通过分发虚假信息的方式来窃取国际公司的财务信息。除了附件之外，邮件中不包含任何内容。之所以不填写正文，实际上是为了诱导更多的受害者打开包含Trojan.MSOffice.Alien.gen的附件，随后在计算机上下载并安装Trojan-Banker.Win32.Trickster.gen。

1.10 针对银行业的攻击

银行已经逐渐成为网络钓鱼的最高级目标。诈骗者不断尝试，将合法域名替换为发件人的地址，复制合法电子邮件的布局格式，并设计合理的借口来尽可能地使他们的虚假邮件变得可信。在第一季度，网络钓鱼者利用一些知名的事件来说服受害者打开邮件。例如，他们在邮件中插入了一个关于基督城恐怖袭击的短语。攻击者希望借助这种方式，再加上以新西兰银行作为发件人的名称，能够增强邮件的可信度。在邮件的正文中，声称该银行已经引入了一些新的安全功能，需要更新帐户详细信息后才可以使用。

该链接将用户导向到一个仿冒新西兰银行登录页面的网络钓鱼站点。在单击“登录”按钮后，站点上输入的所有数据都将被传送给网络犯罪分子。

二、统计：垃圾邮件

2.1 电子邮件通信中垃圾邮件占比

全球邮件通信中的垃圾邮件占比（2018Q4与2019Q1对比）：

在2019年第一季度，3月份的垃圾邮件占比最高，达到56.33%。全球邮件通信中垃圾邮件的平均百分比为55.97%，几乎与2018年第四季度相同（增长0.07个百分点）。

Runet邮件通信中垃圾邮件占比（2018Q4与2019Q1对比）：

1月份，俄罗斯互联网通信中垃圾邮件数量到达峰值（56.19%）。该季度的平均值为55.48%，与2018年第四季度相比增长2.01个百分点。

2.2 国家分布

2019年第一季度垃圾邮件来源国家分布：

最主要的垃圾邮件来源国家为中国（15.82%）和美国（12.64%）。以往位于第三名的德国在本季度中排名第五（5.86%），取而代之的是俄罗斯（6.98%）。巴西（6.95%）排名第四，法国（4.26%）排名第六，接下来分别是阿根廷（3.42%）、波兰（3.36%）、印度（2.58%）和越南（2.18%）。

2.3 邮件大小分布

垃圾邮件大小分布图（2018Q4与2019Q1对比）：

在2019年第一季度，较小的垃圾邮件（小于2KB）占比与2018年第四季度相比增长了7.14个百分点，占比73.98%。2-5KB的邮件占比下降至8.27%，下降3.15个百分点。10-20KB邮件占垃圾邮件通信的5.11%，与2018年第四季度相比增长1.08个百分点。大小为20-50KB的邮件占比达到3.00%，与2018年第四季度相比增长0.32个百分点。

2.4 邮件附件中恶意软件分布

邮件流量中排名前十的恶意软件家族（2019年第一季度）：

在2019年第一季度，邮件通信中最常见的恶意软件是Exploit.MSOffice.CVE-2017-11882，占比7.73%。排在第二位的是Backdoor.Win32.Androm，占比7.62%。Worm.Win32.WBVB（4.80%）位居第三名。接下来，Office的另一个漏洞利用Exploit.MSOffice.CVE-2018-0802占比2.81%位居第四名，而Trojan-Spy.Win32.Noon（2.42%）则排名第五。

2.5 目标国家（地区）分布

恶意邮件针对的目标国家/地区（2019年第一季度）：

根据邮件反病毒系统的统计结果，德国（11.88%）再次进入目标国家的第一名，其次是越南（6.24%），接下来是俄罗斯（5.70%）。

三、统计：网络钓鱼

在2019年第一季度，反网络钓鱼系统共阻止了111832308次将用户引导至诈骗网站的尝试。在全球范围中，有12.11%的卡巴斯基实验室用户遭受了此类攻击。

3.1 地理位置分布

在2019年第一季度，遭受网络钓鱼攻击的用户所占比例最大的国家是巴西，占21.66%，与上一季度相比上升1.53个百分点。

网络钓鱼攻击地理分布：

排名第二的是澳大利亚（17.20%），上升2.42个百分点。西班牙的排名提升1位，占比为16.96%，增长0.87个百分点，且略高于葡萄牙（16.86%）和委内瑞拉（16.72%），位居前五。

3.2 组织分布

基于卡巴斯基实验室反网络钓鱼组件的检测结果，我们对网络钓鱼者针对不同组织的攻击进行了评级。当用户尝试通过单击电子邮件或社交媒体消息中的链接，或因恶意软件活动而打开网络钓鱼页面时，该组件都将会被激活。在触发组件后，浏览器中会显示一个横幅，警告用户可能存在威胁。

本季度，银行业仍然占据被攻击次数排名的首位，对信贷组织的攻击比例增长了5.23个百分点，去年第四季度占比为25.78%。

遭受网络钓鱼攻击的组织分布（2019年第一季度）：

第二名是全球互联网门户网站（19.82%），而支付系统则排名第三（17.33%）。

四、结论

在2019年第一季度，全球邮件通信中垃圾邮件的平均占比上升了0.06个百分点。与上一季度的报告周期相比，我们的反网络钓鱼系统阻止了超过111832308次到钓鱼网站的重定向活动，该数值增长了35220650次。

如本文前面所述，诈骗者仍然不断尝试利用热点媒体事件（例如：Apple新产品发布、新西兰恐怖袭击）来实现自己的目的。此外，Sextortion并没有消失，而相反，为了使其更加可信，网络犯罪分子已经编篡了关于邮件发送者的新背景故事。

最重要的是，攻击者持续使用社交网络来实现他们的恶意活动，并利用知名人士发布广告活动，从而扩大这些恶意活动的影响范围。

https://securelist.com/spam-and-phishing-in-q1-2019/90795/

声明：本文来自嘶吼专业版，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。