2020年第三季度的垃圾郵件和網(wǎng)絡(luò)釣魚攻擊分析

如今，许多公司通过在线平台发布营销新闻，在功能方面，此类平台的功能非常多样化：它们发出广告和信息性消息、收集统计数据(例如，有关电子邮件中点击的链接的信息)等。与此同时，此类服务同时吸引了垃圾邮件发送者和黑客。垃圾邮件发送者利用这些服务发送邮件，而黑客通常通过网络钓鱼来获取用户账户。因此，攻击者也掌握了用户创建的邮件列表，这使他们能够传播大规模广告或网络钓鱼信息，过滤系统有时会让这些信息通过。

因此在第三季度，研究人员记录了使用Sendgrid平台发送的消息数量的增加。其中很大一部分是钓鱼攻击，其目的是窃取主要资源的登录凭证。这些电子邮件与传统的钓鱼邮件没有什么不同，除了合法的标题和Sendgrid的链接之外，Sendgrid会将收件人重定向到钓鱼网站。对善于观察的人来说，地址栏和From字段会显示这些信息都是伪造的。

电话欺诈

在之前的季度报告中，研究人员谈到了一种日益普遍的诈骗行为，即诈骗者号称是从大公司发送的电子邮件，要求在给定的电话号码上紧急联系技术支持。然后，与运营商联系的用户会被要求提供银行卡信息等信息，攻击者利用这些信息将用户的账户洗劫一空，最常用的免费电话号码在国家代码后面有特定的三位数前缀(例如:800,888,844)。

在2020年第三季度，研究人员观察到这些攻击的技术和手段都发生了新的变化，不仅警告未经授权的账户访问，还警告用户可能进行的金融交易。攻击者的计划是，当看到一条关于金融交易的消息时，机会自动拨打相关电话。这类电子邮件不包含链接，而且邮件本身是图像，这使得它更难被发现。

诈骗者喜欢这种方案，因为发送垃圾邮件比打电话给潜在的受害者的成本要低得多，也容易得多。为了避免上当，你可以使用该组织官方网站上的电话号码(而不是邮件里的电话号码)打电话给支持服务机构，或者使用一款可以检查电话号码来防止电话诈骗的应用程序。

新冠疫情和垃圾邮件主题

Facebook的捐款

在2020年第三季度，许多社交网络和短信用户看到了带有一些有趣新闻的屏幕截图：CNBC报道了Facebook向新冠疫情受害者捐款的消息。如果你想获得捐款，就要点击链接填写一些文件。

这个链接与Facebook没有任何关系，只是一个伪造的页面。要申请捐款，你必须输入你的Facebook用户名和密码，然后提供个人信息验证你的身份，包括SSN(社会安全号码)。最后这一细节表明，攻击的目标是美国居民。输入所有请求数据的用户不仅向黑客提供了他们的社交网络账户，还提供了个人信息，这些信息可能会被用于身份盗窃或银行卡诈骗。

值得注意的是，该计划是基于官方消息，即Facebook确实准备为新冠疫情受害者提供支持。但它只涉及对公司的拨款，即公对公而不针对个人。

和旅游主题相关的钓鱼攻击

新冠疫情大流行重创了旅游业，也对诈骗者产生了影响。这意味着本季度攻击者利用暑假等旅游主题的电子邮件攻击比往年都要少。然而，新冠疫情大流行并没有阻止诈骗者的攻击欲望，只是转移了他们的攻击目标而已。

在第三季度，Airbnb和ExpediaGroup用户是网络钓鱼攻击的最常见目标。渴望获得用户凭据的虚假页面会伪装成官方网站的设计，只有仔细查看地址栏才能辨别出来，而地址栏上的域名通常与目标公司无关，或者属于免费托管服务。

为了避免过早暴露，诈骗者使用了短网址服务，并在社交网络和聊天程序中传播信息，缩短的链接看起来成功的几率是很大的。在他们的信息中，诈骗者提供廉价的机票或廉价的酒店交易。而且在点击链接之前不可能知道链接指向哪里，而这正是攻击者利用的。通过这种方式窃取的账户可以用于洗钱等活动。

网络钓鱼者还伪造了带有租赁报价的页面：访客可以查看公寓的照片并阅读有关所谓条款和条件的详细信息。在页面的下方是以前的客户的疯狂评论，目的是使受害者相信网页的真实性。如果受害者计划出租信息，就必须支付预付款。然后，定金一旦交付，用户就会发现自己受骗了。另外，黑客有意突出伪造网页上的产品的低价和高折扣特点，以分散受害者的注意力，使他们无法查看URL的真实性。

对企业部门的攻击

恶意邮件

研究人员已经讲述了伪装成捐赠服务通知形式的恶意文件的传播，他们在本季度也继续肆虐：研究人员发现了一封邮件，该邮件针对的是与某些销售能力相关的员工。诈骗者说服收件人打开所附文件，据称是为进口货物支付关税。该附件包含文档Backdoor.MSIL.Crysan.gen，而不是文档。

值得一提的是带有“提醒”的有关在线聚会的恶意邮件，例如，其中一个通过点击附件的链接要求收件人加入Zoom会议。用户最终没有参加会议，而是进入了WeTransfer网络钓鱼页面。如果用户误点击了钓鱼链接并输入WeTransfer凭据，则攻击者可以获得对存储在此云中的公司文件的访问权限。

另一封邮件通知用户与他们共享了MicrosoftSharePoint文档，点击链接后，受害者被重定向到伪造的Microsoft登录页面，该页面帮助黑客窃取帐户用户名和密码。

遇到包含恶意文件的通知要危险得多，例如，下面的包含HEUR的消息乍一看无害：Trojan-Downloader.Script.Generic。

通过下面电子邮件中的链接下载的Trojan-Banker.Win32.ClipBanker被用于窃取金融(包括与加密货币相关的信息)信息。

邮件扫描仪

为了获得公司帐户的访问权限，攻击者传播了一些消息，指出已在收件人的邮箱中发现病毒，并建议进行紧急扫描，否则该帐户将被禁用。这些邮件伪装成来自infosec公司的通知，是从一个免费的邮件地址发送的，并使用诸如电子邮件安全团队的中性名称以避免不必要的细节。

黑客认为是计算机病毒和停用的工作电子邮件帐户共同造成的威胁，迫使收件人忽略了某些奇怪的消息。例如，此类电子邮件可能来自公司的IT部门或安全部门，而不是第三方。点击链接打开的页面在地址或布局上均与公司资源不相似。另外，为了增强可信度，攻击者在上面贴了所有主要信息安全公司的徽标。

如果用户要开始“病毒扫描”，则要求用户输入公司邮箱的用户名和密码。也就是说，即使在字段中输入了任意凭据，“扫描”也会开始：

垃圾邮件的统计

垃圾邮件在邮件流量中的比例

2020年第二季度至2020年第三季度垃圾邮件在全球邮件流量中的比例

2020年第三季度，垃圾邮件占最大占比(80.0%)(80.07%)，与上一个季度的报告相比垃圾邮件在全球邮件流量中的平均占比为48.91%，下降了1.27个百分点。

各国垃圾邮件的来源

2020年第3季度按国家分类的垃圾邮件来源

垃圾邮件发送量排名前5位的国家与上一季度相同，只是占比变了，其中增长最大的是俄罗斯，排名第一，上升了5个百分点至23.52%。其余前五名的占比波动幅度不超过一个百分点。第二名的德国上升了11.01%，第三的美国上升了10.85%，法国上升了6.69%，中国上升了6.33%。

10名以后的排名变化更大，例如，这次土耳其排名第11位(1.73%)，荷兰位居第六(3.89%)，巴西(3.26%)第七位，西班牙(2.52%)第八位，日本(2.30%)第九位，波兰(1.80%)位居前十名。

垃圾邮件的大小

2020年第二季度至2020年第三季度的垃圾邮件大小

到2020年第三季度，非常小的电子邮件数量继续下降。他们的占比显着下降，下降了13.21个百分点，至38.09%。大小为20–50KB的电子邮件所占的份额增加了12.45个百分点，占已注册垃圾邮件总数的28.20%，但是大小为10–20KB的电子邮件数量下降到8.31%，大小为100-200KB的垃圾邮件份额也较低，这次它们的占比为1.57%。

恶意附件：恶意软件家族

2020年第二季度到2020年第三季度邮件杀毒软件触发次数

在2020年第三季度，研究人员的安全解决方案共检测到51025889个恶意电子邮件附件，比上一报告期间多了近800万个。

2020年第三季度邮件流量中排名前10位的恶意附件

第三季度邮件流量中最广泛使用的恶意软件被认定为Trojan-PSW.MSIL.Agensla.gen(8.44%)。排在第二位的是Exploit.MSOffice.CVE-2017-11882.gen(5.67%)，而Trojan.MSOffice.SAgent.gen(4.85%)位居第三。

2020年第三季度邮件流量中排名前10位的恶意软件家族

本季度被应用最多的恶意软件家族是Trojan-PSW.MSIL.Agensla(12.67%)，它在上一报告期间排名第二，上一季度的领导者Trojan.Win32.Agentb位居第二(8.78%)，与上一季度一样，第三名是Exploit.MSOffice.CVE-2017-11882(8.03%)。

被恶意邮件攻击的国家

2020年第3季度按国家/地区划分的邮件攻击事件分布

自今年年初以来，西班牙的邮件攻击事件数量一直处于领先地位，在第三季度，这个国家的用户占攻击的7.76%。这次排名第二的是德国(7.05%)，俄罗斯(5.87%)排在第三位。

在2020年第三季度，卡巴斯基的反钓鱼系统阻止了103060725次将用户重定向到伪造页面的尝试，比第二季度减少了近320万次。

攻击的地理分布

这次，遭受网络钓鱼者攻击的用户比例最大的国家是蒙古(15.54%)。

2020年第三季度的网络钓鱼攻击的地理位置分布

以色列(15.24%)位居第二，法国(12.57%)则位居第三。

顶级域名

和之前一样，本季度最受攻击者欢迎的顶级域名是COM(占攻击所用的顶级域名总数的40.09%)。Silver升至XYZ(5.84%)，bronze升至NET(3.00%)，RU排在第四位(2.93%)，BUZZ排在第五位(2.57%)。

2020年第三季度最受钓鱼攻击者欢迎的顶级域名

受到攻击的组织

网络攻击者对不同类型组织的攻击的评级是基于卡巴斯基反网络钓鱼组件的检测，这个组件检测用户尝试通过以下电子邮件或Web链接访问的带有网络钓鱼内容的页面，而不管用户如何访问该页面：通过点击网络钓鱼电子邮件中或社交网络中消息中的链接，或者被恶意程序重定向。触发组件后，浏览器中会显示一个警告，警告用户有关潜在威胁。

与以前一样，在线商店类别吸收了最多的网络钓鱼攻击，尽管它的占比比2020年第二季度略微下降(下降了0.20个百分点)至19.22%。全球门户网站(14.48%)位居第二，银行(10.89%)位居第三。

2020年第三季度按类别划分的遭受网络钓鱼攻击的组织的分布

总结

今年第一季度出现的新冠疫情主题仍是垃圾邮件发送者和网络钓鱼者的热门话题，在研究人员看来，所谓的第二波浪潮可能会导致各种与冠状病毒相关治疗的邮件激增。此外，在经济形势不断恶化的背景下，诈骗邮件数量有所增加。

本季度，垃圾邮件在全球邮件流量中的平均占比为48.91%，下降了1.27个百分点。与上一个季度相比，尝试重定向的次数总计近1.03亿。

在第三季度的垃圾邮件来源国家排行榜中，俄罗斯再次占据首位，占比23.52%。卡巴斯基的安全解决方案目前已经屏蔽了51025889个恶意附件，垃圾邮件中最流行的恶意软件家族是Trojan-PSW.MSIL.Agensla，占邮件流量的12.67%。