本期报告概要:
在经济世界里,媒体使用“BRIC”(金砖四国)这一首字母缩略词指代巴西、俄罗斯、印度和中国这四个新兴市场的领导者。本月报告中,我们将看看这些国家是否也是垃圾邮件的新兴市场领导者。在过去一年里,来自这些国家的垃圾邮件数量是增长了还是下降了?这一团体中各个国家的垃圾邮件市场份额是增加了还是减少了?
如上月报告所预测,自2010年8月以来,平均每日垃圾邮件的发送总量确实出现了首次增长。2月份,日均垃圾邮件发送量逐月增长了8.7%。总体来看,2月份垃圾邮件数量占邮件发送总量的80.65%,较一月份的79.55%有所上升。
本月,钓鱼攻击的总量增加了38.56%。钓鱼攻击数量出现大幅度增长的领域主要为自动工具包和特殊域名领域。利用自动工具包创建的钓鱼网站数量上升了约50.33%,而特殊URL攻击的数量上升了33.73%,含有IP域名的钓鱼网站(如http://255.255.255.255)数量下降了约47.22%。Web托管服务占钓鱼攻击总数的13%,比上个月增加了38.97%。非英语类钓鱼网站的数量大幅度上升,增长了76.51%。2月份,在非英语类钓鱼网站中,葡萄牙语、法语和西班牙语钓鱼网站所占比例最高。
本期报告主要内容:
2011年2月:垃圾邮件主题分析
金砖四国垃圾邮件调查分析
手机充值需提供3D安全密码
利用假冒SSL发起针对信用卡服务品牌的大规模钓鱼攻击
本月热点事件分析:
2011年2月:垃圾邮件主题分析
尼日利亚419诈骗类型的邮件攻击通常规模较小,并非使用相同的标题发送成百上千万封垃圾邮件。即使这一类别的攻击逐月增长了5%,它也并未出现在上述主题列表中。但是,赛门铁克观察到,许多419类垃圾邮件攻击中利用了当前发生的事件。
金砖四国垃圾邮件调查分析
众所周知,金砖四国(巴西、俄罗斯、印度和中国)是全球新兴市场的领导者。近年来,这些国家显示了强有力的经济增长,同时在宽带互联网方面也发展迅猛。宽带使用的增长也使这些国家易于受到僵尸网络的攻击。
因此,我们会有这样一个问题,这些国家在垃圾邮件方面是怎样的?
上面的图表显示了来自每个国家的垃圾邮件比例,突出了三个主要趋势:
总的来说,在过去十五个月里,金砖四国的垃圾邮件市场份额呈现下降趋势
巴西的情况没有太大改变
另一方面,俄罗斯垃圾邮件的市场份额有所增加
在过去的十五个月里,就全球垃圾邮件的产出而言,欧洲、中东和非洲(EMEA)地区一直排在各地区前列。在这一阶段中,虽然欧洲、中东和非洲地区的众多国家位列前茅,但其中有一个国家在垃圾邮件市场份额的增长方面可谓鹤立鸡群。
虽然2009年11月荷兰所发送的垃圾邮件数量仅占全球总数的2.3%,但2011年2月该国的垃圾邮件产出却增长到5.3%。实际上,该国的这一数字在2010年6月份还要更高,达到6.3%。
手机充值需提供3D安全密码
众所周知,钓鱼攻击者们制定了不同的策略,以引诱使用者相信其钓鱼网站是真实而安全的。我们注意到,钓鱼网站在挖空心思套取用户的3D安全码。
什么是3D安全码?
所谓的3D安全码是只有银行和买家知道的密码。换句话说,在网上交易中,卖家是不知道此号码的。从本质上说,这一号码是特别单独发给持卡人的额外的密码,以确保网上交易的安全。
许多网上交易通常要用到信用卡/借记卡号码和卡背面的号码。如果有人看到磁卡,并复制或写下该卡上面的这些号码,那么,持卡人就会面临自己在网上交易中钱财被盗的风险。3D安全密码的使用可以避免这一风险,因为这一密码不会出现在卡上面的任何地方。事实上,卡的密码由卡片所有者来输入的做法能够有助于卡片的验证。
当卡片号码被他人拷贝时,3D安全码可以降低持卡人的风险。然而,如果3D安全码本身被使用者透露给了钓鱼网站,那么使用者的钱财仍会处于风险之中。钓鱼者意识到这一点,他们引诱用户在钓鱼网站上输入自己的3D安全码以及卡片的其他详情。
最近,赛门铁克观察到了此类情形,其中钓鱼网站要求使用者在网上交易中提供自己的信用卡详情及3D安全码。其诱饵是手机话费网上充值。该钓鱼网站针对的是土耳其的用户,钓鱼网页也是土耳其语。同时,所要求提供的信用卡详情也是土耳其的一些银行信息。所要求提供的信息包括手机号码、充值金额、银行名称、持卡人姓名、信用卡号码、到期日期、CVV和3D安全码。为了增加诱惑力,钓鱼网页声称,用户每充值20美元即可得到银行的两份价值10美元的特殊礼品。输入信息后,用户就被指向了钓鱼网站上的一个网页,并要求用户提供更多信息。
第二个钓鱼网页上要求提供的信息包括母亲的婚前姓名、持卡人的出生日期、账户号码和密码。钓鱼网页声称,点击该页下面的按钮后,用户手机将会收到一个包括密码在内的短信。该网页还警告用户,如果所输入的信息不完整,则操作无效,从而导致交易失败。在该按钮下面是一条信息,声称网上交易使用3D安全码是安全的,高度加密系统可以防止未经授权的使用。显而易见,这一声明的目的旨在获取用户的信任。
该钓鱼网站的第三页要求用户提供此前声称已通过短信发送给用户的密码。该钓鱼网页还提示用户,用户收到短信可能需要一至五分钟,并要求用户不用关闭该页。当然,这只是一个伎俩,用户不会收到任何密码的。
钓鱼URL使用了IP域名(例如,类似http://255.255.255.255)。该钓鱼网站托管于美国奥兰多的服务器。
利用假冒SSL发起针对信用卡服务品牌的大规模钓鱼攻击
2月份,赛门铁克观察到一次针对某知名信用卡服务品牌的大规模钓鱼攻击。此次攻击中使用了大量的钓鱼URL,这些URL都是用了SSL证书进行加密。
那么,是什么使这一钓鱼攻击与众不同?
使用SSL的钓鱼网站并不常见,其数量通常是少之又少。要建立一个使用SSL的钓鱼网站,钓鱼者要创建一个假冒的SSL证书,或攻击一个合法证书,以实现网站的加密。就以上两种情形而言,赛门铁克观察到,使用SSL的钓鱼网站的频率较低。在这一特别攻击中,有超过一百个钓鱼URL中使用了假冒的SSL证书。它是通过将钓鱼网站托管于单一IP地址并分解为多个域名的方式来实现的。也就是说,虽然此次攻击中使用了大量的URL,它们都转化为一个单一的IP地址,并包含了相同的网页。SSL证书是过期的,其发布日期为2006年,有效期到2007年。钓鱼者制作这一加密钓鱼网站背后的主要动机是使该网站看起来像真的,从而令用户相信该网站是安全的。
该钓鱼网站假冒的是一个信用卡服务品牌,针对的是瑞士的用户,其使用的语言是法语。网页还要求用户提供某一知名电子商务品牌的登录证书。这样,钓鱼者就可以一石二鸟,通过一次钓鱼攻击获取两个品牌的保密信息。该钓鱼网站托管于美国加州的服务器。
该钓鱼网站通过两个步骤要求用户提供保密信息。第一步是用户的身份确认。钓鱼网站要求用户输入姓名、出生日期、地址、电子邮件以及某电子商务品牌的密码及母亲的婚前姓名。第二步则要求用户提供银行信息,其中包括银行名称、银行ID、持卡人的姓名、卡的类型、卡号、个人密码、卡片有效期和CVV号码。用户输入所要求的信息后,该钓鱼网站就会将其重新指向一个空白网页。一旦用户成为该钓鱼网站的牺牲品,钓鱼者就可以盗取其信息以获取经济利益。
附录一:“要”与“不要” 安全秘诀,以应对垃圾邮件,保护你的企业、员工和客户
要:
1.要退订你不再希望接收的正常邮件。申请接收邮件时,确定你同时选择接收的其他项目。取消你不想接收的邮件项目。
2.要精心选择注册电子邮件地址的网站。
3.要避免在互联网上公布自己的电子邮件地址。考虑其他选择 – 例如,订阅邮件时使用其他邮箱地址;不同邮箱地址用于不同目的,或可考虑一次性电子邮件地址服务。
4.要使用邮件管理员提供的邮件地址,如果可能的话,报告漏检的垃圾邮件。
5.要删除所有的垃圾邮件。
6.要避免点击电子邮件或IM信息中的可疑链接,因为它们可能会链接到钓鱼网站。建议在浏览器中直接输入网站地址,而不要依赖电子邮件提供的链接。
7.要时刻确保你的操作系统已进行实时更新,使用综合安全软件套装。
8.要考虑采用一个知名的反垃圾邮件解决方案,如赛门铁克的Brightmail邮件安全综合解决方案,以解决整个组织范围内的邮件过滤问题。
9.要访问赛门铁克的垃圾邮件状态网站,掌握垃圾邮件的最新趋势。
不要:
1.不要打开未知的电子邮件附件。这些附件可能使你的电脑感染上病毒。
2.不要回复垃圾邮件。一般来说,发信人的电子邮件地址都是伪造的,回复邮件只会带来更多的垃圾邮件。
3.不要填写邮件中要求提供个人信息、财务信息或密码的表格。知名公司不可能通过电子邮件形式要求你提供自己的个人详情。如果有疑问,请通过独立的、可信的渠道联系该公司,如通过核实的电话号码,或将已知的网络地址输入到新的浏览窗口(不要点击邮件中链接,或复制粘贴邮件中的链接)。
4.不要根据垃圾邮件信息购买产品或服务。
5.不要打开垃圾邮件信息。
6.不要转发垃圾邮件提供的病毒警告,这些警告通常是圈套。
附录二:本月数据分析参考
图一:垃圾邮件来源地区
图二:垃圾邮件来源地区变化趋势
图三:钓鱼攻击方式的分布
图四:钓鱼攻击的对象分布
