卡巴斯基发布2013一季度垃圾邮件报告

 邮箱网  0条评论  8018次浏览  2013年05月14日 星期二 13:56

分享到: 更多
中国邮箱网讯 5月14日消息,来自《卡巴斯基2013一季度垃圾邮件报告》显示,在电子邮件整体流量中,未经请求的信件所占比例增长了0.53%。

今年第一季度,带有恶性附件的邮件分享达到了3.3%,但是钓鱼邮件所占比例则降低至0.0004%。

根据这份报告,垃圾邮件制造者再次利用空白文本方法,在邮件中制造背景噪音,使得垃圾邮件过滤器将其视为类似随机新闻片段的时事通讯,难以有效过滤这些垃圾邮件。

卡巴斯基实验室垃圾邮件分析师Tatyana Shcherbakova表示,2013年第一季度,在邮件整体流量中未经授权的通信所占比例每月各不相同,但整体平均水平保持了上一季度的水平。

“我们希望,随着邮件服务愈来愈普及与盛行,目前的垃圾邮件共享状况能继续保持稳定,或者将垃圾邮件扩展控制在更小范围。”

以下为《卡巴斯基2013一季度垃圾邮件报告》全文:

本季度的数字

l  第一季度垃圾邮件占了总的邮件流量提升了0.5%,为66.5%。

l  钓鱼邮件的比例下降了4.25倍,占0.004 % 。

l  含有恶意附件的电子邮件占所有邮件的3.3%,增加了0.1%。

聚焦垃圾邮件

2013年一季度,发生了几个高曝光率的事件:委内瑞拉总统查韦斯去世,教皇本笃十六世辞职,新教皇弗朗西斯正式宣誓就职。像往常一样,这些事件没有被垃圾邮件发送者忽视。这些重要的全球性事件,被广泛的应用于包含恶意链接和欺诈性的电子邮件。

恶意链接

委内瑞拉的总统去世后,涌现出了很多标题为《中央情报局“谋害”委内瑞拉总统雨果查韦斯?》的垃圾电子邮件,作者提到了美国政府及CIA的参与和雨果查韦斯死亡有关,并且建议的收件人点击链接查看相关视频。


链接指向一个被黑的合法站点,里面包含恶意的java 脚本。如果受害者的操作系统符合某些参数,会主动在用户的计算机上安装某个恶意程序。(卡巴斯基实验室将它命名为Exploit.Java.CVE-2012-0507.gen)

然而,查韦斯并不是2013 年 1 季度欺诈者的唯一焦点。另一个群发邮件包含新教皇引起轰动的"新闻"和恶意链接。发送者模仿 BBC 和 CNN 的新闻报道,并邀请收件人阅读有关教皇的资讯。


这类垃圾邮件的攻击手段类似“查韦斯版本”:点击链接,用户被定向到一个已经被攻击的站点,下载恶意程序到他们的电脑中。

有趣的是,尽管发送者设计了假的新闻页面,但又犯了一些低级的错误:比如他们伪造了BBC的发信地址,内容却显示了CNN的信息。

据说,引用新闻热点的照片和视频,是传播恶意软件的垃圾邮件发送者的最喜欢技巧之一。我们收到了邮件称包含拉登的照片,奥巴马等名人的信息。尽管垃圾邮件制造者不断更换主题,但单击此类邮件的目的是相同的-在用户的计算机下载恶意软件。

委内瑞拉和“尼日利亚信件”事件

尼日利亚的骗子们的目标一般都是政坛动荡的国家,这次也没有放过委内瑞拉。2013年1季度,我们在全球都收到了关于这方面的邮件。

尼日利亚诈骗邮件的特征是:英文邮件、内容是希望可以获得一些资金逃离出境,后期会给予补偿。


这些信件内容相似,我们还收到了,卡扎菲,穆巴拉克等资讯的垃圾邮件。

还有一部分德语邮件,声称,他是已故的查韦斯的朋友,希望有人可以资助他资金,报酬是分享查韦斯的秘密情人银行账户里的23000000美元。


众所周知,尼日利亚的骗子会与潜在的受害者有着较高的互动。在初期,骗子为了提高收件人的兴趣,并回复他的邮件,再进一步对受害人提出要求:需要一些钱用来支付律师费用,缴纳税金等,而与回报相比这只是一点微不足道的小钱,一旦他们收到这笔钱,他们将切断与受害者的全部联系。

虚假信息

垃圾邮件制造者,特别是那些目标是感染用户的计算机的垃圾邮件发送者,仍然使用著名的臭名昭著的假通知服务。2013年一季度,垃圾邮件发送者发送了大量的如脸谱网和推特的应用服务的邮件。再次证实是一个简单的规则:服务更受欢迎,而用户收到的邮件很可能的是被模仿的垃圾邮件。


这些电子邮件经常利用漏洞,在用户的计算机上安装恶意软件,通过这个突破口进行攻击。

显而易见,骗子不能总是确保标题或“发信人”字段信息与假通知邮件的内容匹配。有趣的是,同样的错误出现在了前面提到的伪造BBC与CNN的邮件中。这可能意味着,所有这些群发邮件是由一个网络犯罪团伙实施的。


垃圾邮件发送者的方法和技巧

很明显,现在的垃圾邮件发送者可以不用挖掘新的手段,他们已经有了足够多的手段。骗子们使用多种手段的组合,包括那些曾经很流行但过时了一段时间的手段。此外,垃圾邮件发送者已经探索通过合法的服务所提供的可能性,来绕过垃圾邮件过滤。

利用合法服务

在2013年一季度,我们收到的一些群发广告,发现他们使用了以下技巧:

1.  "删除Instagram 帐户"就是一个典型例子。为了吸引用户的注意力,骗子发出警报,提示最受欢迎的在线服务的潜在问题。如果收件人有 Instagram 的帐户,他很可能要打开电子邮件,而不是立即删除它。

2.  对其中的恶意链接的实际地址,骗子同时用两种合法方法转换。首先,垃圾邮件发送者使用雅虎网址缩短服务,然后通过谷歌网址转换链接。这项服务可以转换用户指定的链接生成其自己的链接。这些技术的组合使每个链接在群发邮件中包含知名的两个域(雅虎及谷歌),使邮件的链接在收件人的眼中添加了"信誉"。

最重要的是,为了进一步欺骗收件人,垃圾邮件发送者在该链接结尾与随机单词组成的无意义请求,如:? / Constitutional contextualization。


垃圾邮件发送者经常使用转换链接服务。他们这样做,首先,试图绕过垃圾邮件过滤软件,使每封邮件拥有独特的链接。其次,转换链接服务不会对骗子征收额外费用,不像购买域名或攻击合法网站。

利用白色文本

2013 年一季度,垃圾邮件制造者恢复"白色文本"这种方法的使用。此方法是添加文本 (今年第一季他们瞄准的是新闻报道) 的随机片段到电子邮件。他们将白色的文本添加在灰色或者浅灰色的广告部分,在文中有很多的换行符。骗子期望对基于内容的垃圾邮件筛选器会认为这些电子邮件是用来通讯的,而不受到拦截,并且使每个电子邮件都与其他邮件不同,因而难以检测。


统计

垃圾邮件的邮件流量份额

2013年一季度,垃圾邮件的邮件流量波动明显,比2012第四季度增加了0.53%,为66.55%。


2013年一季度,垃圾邮件比例(周)

欺诈性的"金融投资"计划是第1 季度主要群发内容。垃圾邮件制造者发布虚假的公司内幕和股票即将涨价的假新闻。由于这类群发,3 月第一周记录达到了季度最高值73.4%。


此类垃圾邮件曾在2006-2007年达到顶峰,近几年几乎已经消失,只有偶尔出现。有趣的是,这类垃圾邮件基本是以量取胜。这种骗局是逐渐发挥作用。骗子可以在很短的时间传播大量的邮件,而后的很长一段时间都会有很多的潜在的受害者被骗。

垃圾邮件来源国

2013年一季度,中国(24.3%)和美国(17.7%)仍然是最活跃的垃圾邮件的发送国。韩国9.6%排名第三。

有趣的是,这些国家垃圾邮件发送目标不同:中国大多数垃圾邮件发送到亚洲,美国的垃圾邮件主要发向北美地区,即都可以视为内部垃圾邮件。而韩国仍然是主要发往欧洲。


2013年一季度垃圾邮件来源国

与2012年底相比,巴西从第五下降到第九的地方。这是因为在过去一年内巴西关闭了TCP端口25。这使得大部分被感染的电脑不会发送垃圾邮件。关闭TCP25端口是互联网服务供应商的标准做法。

前5名还包括印度(4.4%),上一季度他们是第三,台湾的份额增加了一倍,从第十攀升至第五位。俄罗斯(3.2%)提升了1.2%,排列第七位。

各地区的垃圾邮件来源

亚洲仍然是垃圾邮件的地区的主要来源,占全球51.8%。紧随其后的是北美18.3%。


2013年一季度各地区的垃圾邮件来源

东欧的垃圾邮件份额达到了11.1%。虽然前10只包含一个东欧国家–俄罗斯,但有国家排名11-20的有50%来自这个地区。

拉丁美洲跌出前20个主要得感谢巴西,秘鲁和阿根廷的垃圾邮件治理。

垃圾邮件的大小


2013年一季度垃圾邮件大小

2013 年第一季度,垃圾电子邮件一般都很小 (1 KB 或更少)。小尺寸垃圾邮件让垃圾邮件发送者发送更多的电子邮件,减少流量费用。此外,随机产生的词汇组合使这些电子邮件更加独特,垃圾邮件过滤器识别更加困难。

电子邮件中的恶意附件

具有恶意附件的电子邮件比例增长了0.1%,为3.3%。


2013年一季度排名前十的通过电子邮件传播的恶意程序

2013年1季度,Trojan-Spy.html.Fraud.gen依然是在电子邮件中出现的最普遍的恶意程序。这个恶意程序模仿知名银行或电子支付系统的登记表格的 HTML 页的形式。用于网络钓鱼者盗取网上银行系统的用户信息。

Email-Wprm.Win32.Bagle.gt来到第二。通过在受害者的地址簿自我繁殖外,这个邮件蠕虫还一个主要功能,是将恶意程序下载到用户的计算机。

其次是Trojan-Banker.HTML.Agent.p,这种恶意程序模仿金融机构或一些其他类型的在线服务登记表获取用户信息。

排名前10的恶意程序,除了邮件蠕虫不断在网上流传,还包括trojan.win32.bublik.aknd和androm家族的后门程序。

Bublik通过FTP从被感染的电脑获取电子邮件服务的证书和密码。并且能获取在火狐和谷歌浏览器中保存的登录名和密码。

Androm家族的后门程序允许恶意用户秘密控制受感染的计算机,例如,从用户的计算机上下载和启动恶意文件。此外,许多电脑感染后门成为僵尸网络的一部分。在大多数情况下的androm家的后门分布在假冒的Booking.com,DHL,航空公司等电子邮件中。同样的方法曾多见于宙斯/ zbot病毒。


含有恶意软件的电子邮件的国家份额

美国(13.2%)和德国(11.2%)他们的和占恶意电子邮件的四分之一。意大利(8.7%)排名第三,虽然本季度它很少出现在前十,然而,在二月Trojan-Banker.HTML.Agent.p的爆发,导致意大利最终出现在前十。

在前10名中的其他国家恶意垃圾邮件的比例几乎保持不变。

钓鱼

2013年一季度,钓鱼邮件的比例下降了4.25倍,占0.004 % 。


排名前100的是非法钓鱼网站*

这个评价是根据卡巴斯基实验室的反钓鱼组件被激活的检测,每次用户试图点击钓鱼链接,无论是否是在一个垃圾邮件或网页上的链接。

社交网站依然是钓鱼攻击的主要目标(37.6%),骗子积极模仿脸谱网和LinkedIn的通知。搜索引擎排名第二(16.2%),主要是因为搜索引擎提供商还提供许多其他的服务。帐户通常是所有服务的关键,所以搜索引擎是非常有吸引力的。

金融电子支付组织(14.2%)在第三位。值得注意的是,与社交网站不同,大多数模仿社交网站的邮件都瞄准仿造一个或两个社交网站,而对银行的攻击分布更均匀:不同的银行,无论大小,无论国际知名程度。


2013年一季度钓鱼攻击发起国分布

2013年一季度美国(25.4%)名列榜首。英国(8.2%)和德国(7.7%)占第二,第三位。其次是俄罗斯(6%)和印度(5.2%)。

有趣的是,前10位国家还包括加拿大(4.5%)和澳大利亚(3.9%)。这两个国家之前网络环境被认为是相当安全的,他们的垃圾邮件数量占1%或更少。

结论

2012 年整年的垃圾邮件数量稳步下降。在 2013 年1季度的垃圾邮件与上一季相比几乎不变。我们认为:在未来将维持目前的水平,或由于最近增加了数百万群发的人数,垃圾邮件的份额略有增长。

垃圾邮件发送者持续努力,他们用名人的信息,世界事件或假通知,试图吸引用户关注他们的消息,然而许多电子邮件包含恶意程序的链接。我们再次提醒用户不点击电子邮件内的链接,即便发件人是你熟悉的,在浏览器中手动输入地址会安全的多。

最活跃的垃圾邮件发送国–美国和中国,在不久的将来不会改变,除非这些国家能够关闭僵尸网络。2013第一季领先的还包括韩国,他们主要向欧洲用户发送垃圾邮件。

2013年第一季度,最常见的通过电子邮件传播的窃取用户的登录名和密码的恶意附件。骗子特别热衷发送关于网络银行的木马,有针对性的获取用户信息。此外,许多邮件群发包含的链接则会导致下载恶意程序。

文章来源:反垃圾信息中心

标签:垃圾邮件反垃圾

我的评论:

请  后发表评论。