与借助某些重大事件一样,网络犯罪分子也会选择利用西方节日来制造诱饵和骗局,诱使用户点击恶意链接、安装恶意软件、转移资金,或者以其他方式落入其圈套。无论是收到要求用户购买虚假礼品卡的电子邮件诈骗信息,还是在受到恶意软件感染的终端使用信用卡,节假日总会给商家和消费者带来多样化的网络安全威胁。

特别需要指出的是,Proofpoint的研究人员观察到,与礼品卡、节日主题恶意电子邮件、“黑色星期五”购物诱饵以及POS恶意软件等相关的BEC商业电子邮件诈骗活动在今年一直呈现出上升趋势。

礼品卡BEC诈骗

伴随着网络犯罪分子不断改进他们的技术以及探索针对目标组织实施盗窃的新方法,BEC商业电子邮件诈骗活动也在不断发展。美国联邦调查局(FBI)在最近发布的一份公开咨询中指出,要求受害者购买用于企业送礼或节日活动礼品卡的BEC攻击有所增加。虽然这种新兴的攻击技术仅占整个电子邮件诈骗的一小部分,但Proofpoint的研究人员也发现,今年与礼品卡相关的电子邮件诈骗总体呈快速季度环比增长。

在2018年第一季度,几乎没有与礼品卡相关的电子邮件诈骗被观察到。但到了第二季度,此类诈骗在整个电子邮件诈骗中所占的比例达到了1%,而这一比例在第三季度翻了一倍之多(图1)。

图1:2018年礼品卡诈骗占整个电子邮件诈骗的百分比(按季度统计)

在遭遇过电子邮件诈骗的组织中,遭遇礼品卡诈骗的组织的比例在每个季度也呈现出迅速上升态势(图2)。

图2:在2018年遭遇过礼品卡诈骗的组织的百分比(按季度统计)

在与礼品卡相关的电子邮件诈骗信息中,排名前五位的主题是:

  1. itunes gift card
  2. gift cards
  3. donation (gift cards)
  4. amazon gift cards
  5. gift card

与大多数其他类型的电子邮件诈骗一样,网络犯罪分子的目标是无论规模和行业的所有公司。换句话来说,礼品卡BEC诈骗所针对的目标与公司的具体类型并没有什么关联,属于“广撒网”型。

POS恶意软件

我们经常观察到POS恶意软件活动会在黑色星期五和即将到来的假日购物季期间有所上升。网络犯罪分子很清楚地意识到,它们是一年中最繁忙的购物日,在11月和12月期间会发生大量的信用卡交易。即使是在少数终端上植入POS恶意软件,网络犯罪分子也可以窃取信用卡数据,进而用于欺诈性交易。虽然芯片和PIN技术的广泛采用降低了某些类型的POS恶意软件的有效性,但实施欺诈性的无卡交易仍然是可能的。此外,新型POS恶意软件已经出现,它可以计算出芯片卡的验证码,并将其用于欺诈性交易。

在2018年,POS恶意软件活动总体上趋于平稳。其中,FindPOS仍然是最为常见的POS恶意软件。另外,MagikPOS在11月初出现了激增,这很可能是在为即将到来的假日购物季做准备(图3)。

图3:由Proofpoint IDS传感器检测到的自今年年初以来的POS恶意软件活动

社交媒体钓鱼

虽然目前大多数社交平台在自动删除垃圾评论方面已经做得很不错了,但更复杂的网络犯罪分子仍在继续利用社交媒体渠道来直接攻击用户。社交媒体能够使得诈骗或钓鱼成为可能,网络犯罪分子会试图将自己伪装成合法品牌来与用户进行会话,这是因为黑色星期五为用户提供了大量查询可用交易、商品可用性等的机会。例如,假设用户在推特上联系@AcmeAnvils,以询问当地的Acme商店是否会以黑色星期五的价格出售顶锤,如果用户提供了信用卡号码,网络犯罪分子则可能会拦截会话,并提出自己有顶锤出售。在这个例子中,网络犯罪分子可能使用类似于@AcmeAnvilsDeals这样的账户,以盗用合法品牌。虽然这个例子看上去有些老套,但这种社交媒体钓鱼与去年同期相比的确增涨了486%。我们在这里提醒广大用户,在社交媒体上询问交易时,应该确保自己是真的在与合法品牌且经过验证的帐户进行互动。

除了日益普遍存在的利用社交媒体实施诈骗的问题之外,用户还应该更多地关注目的在于传播恶意软件的网络安全威胁。特别需要指出的是,Proofpoint一直在跟踪通过假日电子贺卡来传播恶意软件的活动。攻击者目前正在滥用Facebook Messenger来作为恶意电子贺卡的载体,进而通过由攻击者控制的或被攻陷的网站来传播一系列的恶意软件。

黑色星期五垃圾电子邮件

这些垃圾电子邮件本身通常并不是恶意的,而是旨在说服用户点击其中所包含的链接来查看其他的网页。这些网页可能与电子邮件本身所描述的内容有关,也可能无关。比如,以黑色星期五为主题的垃圾电子邮件往往利用了收件人希望从交易中获得优惠的心态,为用户制造充满诱惑力的点击诱饵。这些垃圾电子邮件往往涉及到盗用合法品牌,再以诱人的主题来说服用户点击。经不住诱惑的用户通常会被重定向到布满广告的网页、潜在的网络钓鱼网站,以及包含恶意内容的网站,或贩卖假冒商品的网站。

利用节日主题电子邮件传播恶意软件

所有节日和重大活动都为网络犯罪分子提供了各种各样的素材,以制造出包含足够吸引眼球的诱饵和主题的电子邮件。例如,一些会定期传播Emotet银行木马的网络犯罪分子在过去的两周里就发送了一系列以感恩节、黑色星期五和网络星期一为主题的恶意垃圾电子邮件。这些电子邮件被描述为电子贺卡(图4)、感恩节祝福、以及亚马逊购物折扣。而实际上,附件或者链接指向的文档包含用于安装Emotet的恶意代码(图5-7)。

图4:来自11月19日活动的电子邮件示例,以感恩节电子贺卡为主题,使用恶意附件传播Emotet

图5:盗用亚马逊品牌,以黑色星期五为主题,链接指向包含恶意宏的文档,旨在传播Emotet

图6:盗用亚马逊品牌,以黑色星期五为主题,链接指向包含恶意宏的文档,旨在传播Emotet

图7:盗用亚马逊品牌,以网络星期一为主题,链接指向包含恶意宏的文档,旨在传播Emotet。请注意,黑色星期五主要是美国的活动,而网络星期一更具国际性。因此,在这个电子邮件示例中,出现的是英镑符号“£”。

当你回到办公室,垃圾邮件会给你“惊喜”

在去年,Proofpoint的研究人员观察到,曾在过去几年里发起了大规模Dridex和Locky活动的网络犯罪团伙TA505在感恩节这天发起了一场规模庞大的垃圾电子邮件活动。在这场活动中,打开附件中的文档并“启用内容”会导致Scarab勒索软件的安装。这场活动是不寻常的,因为网络犯罪分子通常不会选择在重大节日发送垃圾电子邮件,而是选择收件人通常会在办公室的工作日。然而,Proofpoint的研究人员在圣诞节前后再次观察到了类似的活动,这再次打破了传统的概念。

今年,旨在传播Emotet银行木马的网络犯罪团伙在感恩节、黑色星期五和周末集中发起了三场大规模的垃圾电子邮件活动,并于11月26日恢复了平日的正常发送量,使用了上面提到的网络星期一诱饵。另外,TA505也在今年的黑色星期五再次发起了一场活动,而一些旨在传播信息窃取程序、RAT、银行木马等的网络犯罪分子也发起了类似的活动。对于没有采取保护措施的组织和忙碌的用户来说,在节假日过后,他们的收件箱里很快就会出现恶意信息,以及各种各样的虚假“黑色星期五”和“网络星期一”优惠活动。

总结

节假日通常会带来一系列的网络安全威胁,这些威胁来自那些希望利用人们的好奇心和易犯错误弱点的网络犯罪分子,而不是软件漏洞。在2018年的节假日,新的威胁与旧的威胁并存,而礼品卡电子邮件诈骗活动更是迅速崛起。与此同时,越来越多的已知网络犯罪团伙也开始在节假日传播恶意软件。

广大用户应该清楚地意识到,这些威胁必将继续通过电子邮件和社交媒体渠道在节假日如期而至,而好的电子邮件使用习惯和必要的保护措施是避免遭受这些季节性网络安全威胁侵害的关键。如果无法证明自己收到的电子邮件来自知名品牌或社交媒体运营商,那么我们应该避免点击任何链接或打开任何附件。

 

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。