賽門鐵克09年1月垃圾郵件現(xiàn)狀報(bào)告
【51CTO.com 綜合消息】人們通常習(xí)慣在新年到來之際嘗試為自己的工作、生活做出新的改變。然而,當(dāng)2009年到來之際,垃圾郵件發(fā)送者還沒卻從未決定放棄垃圾郵件之戰(zhàn)。最近的垃圾郵件數(shù)量統(tǒng)計(jì)表明,垃圾郵件已經(jīng)悄然恢復(fù)到此前80%的平均水平。此外,本期報(bào)告還詳解了網(wǎng)頁(yè)仿冒垃圾郵件的演變,并揭示其詐取受害人信息的真面目。
2009年1月垃圾郵件現(xiàn)狀報(bào)告主要內(nèi)容包括:
垃圾郵發(fā)送者不放棄利用經(jīng)濟(jì)衰退發(fā)動(dòng)攻擊
12月垃圾郵件數(shù)量持續(xù)增加,McColo被關(guān)閉的影響漸微
來自垃圾郵件制造者的信息
垃圾郵件發(fā)送者繼續(xù)搭載合法的電子通訊發(fā)送垃圾郵件
網(wǎng)址垃圾郵件——特別調(diào)查
網(wǎng)頁(yè)仿冒隨著網(wǎng)絡(luò)郵件仿冒的現(xiàn)身繼續(xù)演變
新年出現(xiàn)新一輪欺詐性攻擊
2008假日垃圾郵件回顧
垃圾郵件發(fā)送者擴(kuò)大產(chǎn)品范圍,兜售違禁藥物
被確定為垃圾郵件的電子郵件比例
定義:
全球互聯(lián)網(wǎng)郵件網(wǎng)關(guān)垃圾郵件比例(Worldwide Internet Mail Gateway Spam Percentage)是指在掃描電子郵件網(wǎng)關(guān)時(shí),被分類操作列為垃圾郵件的電子郵件占總量的比例。這一比例代表了簡(jiǎn)單郵件傳輸協(xié)議層的過濾,并且不包括在網(wǎng)絡(luò)層所檢測(cè)到的電子郵件數(shù)量。
???? |
圖1 |
全球垃圾郵件分類:
垃圾郵件分類數(shù)據(jù)來源于賽門鐵克探測(cè)網(wǎng)絡(luò)(Symantec Probe Network)的信息分類搜集庫(kù)。
???? |
圖2 |
垃圾郵件來源地區(qū):
來源地區(qū)指過去30天內(nèi)來自特定國(guó)家和地區(qū)的垃圾郵件比例。
垃圾郵件發(fā)送者利用經(jīng)濟(jì)衰退發(fā)動(dòng)攻擊
隨著經(jīng)濟(jì)衰退繼續(xù)影響整個(gè)世界,垃圾郵件發(fā)送者利用這種狀況向用戶發(fā)送垃圾郵件也就不足為奇了。幾則最近的與經(jīng)濟(jì)相關(guān)的主題包括:
主題:政府將于最近一個(gè)月出臺(tái)救助方案
主題:經(jīng)濟(jì)衰退中的債務(wù)解決方案
主題:電視報(bào)道:衰退帶來的賺錢商機(jī)
主題:衰退帶來的賺錢商機(jī)
主題:利用惡化的經(jīng)濟(jì)形勢(shì)賺錢
主題:新工作在等著你
主題:經(jīng)濟(jì)危機(jī)下的生存之道:每周大賺500美元以上
主題:新工作在等著你(周薪不低于500美元)
???? |
圖5 |
讓人感興趣之處在于,這些攻擊與垃圾郵件發(fā)送者利用經(jīng)濟(jì)形勢(shì)的方式不同。這些攻擊偽造在家工作計(jì)劃,并附帶調(diào)查性垃圾郵件,二者都以獲取終端用戶的個(gè)人信息為目的。與經(jīng)濟(jì)衰退相關(guān)的經(jīng)濟(jì)類垃圾郵件見諸于各種語(yǔ)言,包括中文。
我們深信垃圾郵件發(fā)送者會(huì)一直利用動(dòng)蕩的經(jīng)濟(jì)形式,誘惑那些容易動(dòng)心的人們落入他們的惡意陷阱。
12月垃圾郵件數(shù)量持續(xù)增加,McColo被關(guān)閉的影響漸微
據(jù)報(bào)道,McColo散布的垃圾郵件曾占全球互聯(lián)網(wǎng)垃圾郵件的半數(shù),該組織被關(guān)閉后,垃圾郵件數(shù)量的確大幅減少。然而,自11月中旬以來,隨著原有的僵尸網(wǎng)絡(luò)再次出現(xiàn)以及新的僵尸網(wǎng)絡(luò)的誕生,垃圾郵件的數(shù)量已緩慢回升并逐漸恢復(fù)到McColo關(guān)閉前80%的水平。
來自垃圾郵件制造者的信息
據(jù)賽門鐵克監(jiān)測(cè),到11月底,垃圾郵件數(shù)量曾出現(xiàn)幾次增長(zhǎng)高峰期,賽門鐵克對(duì)高峰期包含的垃圾郵件進(jìn)行檢測(cè),發(fā)現(xiàn)其中一部分垃圾郵件信息是“加拿大藥店”。
該垃圾郵件使用超文本標(biāo)記語(yǔ)言格式的信息,并在網(wǎng)址中使用一組不同的域名。在高峰期,包含文本和超文本標(biāo)記語(yǔ)言內(nèi)容類型多用途國(guó)際郵件擴(kuò)展部分的垃圾郵件占總量的55%。在McColo關(guān)閉之前,含有文本和超文本標(biāo)記語(yǔ)言內(nèi)容類型多用途國(guó)際郵件擴(kuò)展部分的垃圾郵件占總量的55%以上。關(guān)閉后,該比例平均約為34%。這些垃圾郵件網(wǎng)址里包含數(shù)百個(gè)使用中國(guó)頂級(jí)域名.cn的域名。所有域名服務(wù)器或者和域名共享一個(gè)IP地址,或者使用位于中國(guó)境內(nèi)的其他IP地址。
在第二種情況,用戶被邀請(qǐng)加入社交網(wǎng)站上的一個(gè)群組。在這種情況下,電子郵件鏈接到垃圾郵件發(fā)送者在社交網(wǎng)站上創(chuàng)建的真實(shí)群組。然后,這個(gè)群組鏈接到一個(gè)免費(fèi)的博客網(wǎng)站。該博客網(wǎng)站充當(dāng)中轉(zhuǎn)站點(diǎn),將終端用戶重定向到最終的目的網(wǎng)址。目前,觀測(cè)的許多垃圾郵件均使用同一個(gè)社交網(wǎng)站群組。這可能是因?yàn)槔]件發(fā)送者以此進(jìn)行嘗試,也可能是因?yàn)榻⒍鄠€(gè)群組需要多個(gè)賬號(hào),相當(dāng)費(fèi)時(shí)。
一旦用戶鏈接到目的網(wǎng)址,會(huì)被要求填寫一張個(gè)人信息表。這些信息可能被出售給營(yíng)銷公司,也可能用于將來發(fā)送垃圾郵件。
賽門鐵克建議用戶不要輕易接受任何陌生社交網(wǎng)站的邀請(qǐng)。
垃圾郵件發(fā)送者搭載合法電子通訊發(fā)送垃圾郵件
2008年12月,試圖利用合法的電子郵件通訊的垃圾郵件攻擊數(shù)量增加。這種攻擊手段是,垃圾郵件發(fā)送者試圖在現(xiàn)有的合法電子通訊和廣告的模板中插入垃圾郵件圖片。這種手段的設(shè)計(jì)初衷是通過利用郵件中絕大多數(shù)看似合法的數(shù)據(jù)來回避各種垃圾郵件攔截技術(shù)。這是垃圾郵件發(fā)送者借合法郵件發(fā)送者之名發(fā)送垃圾郵件的又一個(gè)例子。
下面這個(gè)例子中,F(xiàn)ood Network品牌郵件本身包含了一個(gè)推銷各種藥品的垃圾郵件廣告。如果用戶點(diǎn)擊垃圾郵件中的任何一個(gè)鏈接,都會(huì)進(jìn)入一個(gè)由垃圾郵件發(fā)送者操控的網(wǎng)站,該網(wǎng)站用于推銷某些藥品。
#p#
網(wǎng)頁(yè)仿冒垃圾郵件——特別調(diào)查
國(guó)際互聯(lián)網(wǎng)域名與地址分配機(jī)構(gòu)(ICANN)規(guī)定,所有域名都必須與一家注冊(cè)管理機(jī)構(gòu)相連,所有域名申請(qǐng)必須通過一家注冊(cè)管理機(jī)構(gòu)提交。現(xiàn)在,注冊(cè)的網(wǎng)站有數(shù)十萬(wàn)個(gè)。注冊(cè)流程簡(jiǎn)單,注冊(cè)成本也不太高。
垃圾郵件發(fā)送者可以輕易地注冊(cè)域名,而且注冊(cè)管理機(jī)構(gòu)難于區(qū)分垃圾郵件發(fā)送者和合法組織及網(wǎng)站開發(fā)機(jī)構(gòu)。垃圾郵件發(fā)送者在垃圾郵件中經(jīng)常輪換使用域名,認(rèn)為這一策略能夠回避依靠模式匹配阻止垃圾郵件的過濾軟件。一般而言,目前近90%的垃圾郵件均含有某類網(wǎng)址。
頂級(jí)域名(TLD)位于所有域名最后一個(gè)點(diǎn)之后,是整個(gè)域名的一部分。例如,在www.symantec.com域名中,頂級(jí)域名是com。國(guó)家代碼頂級(jí)域名(ccTLD)是一個(gè)國(guó)家或獨(dú)立區(qū)域普遍預(yù)留或使用的頂級(jí)域名。賽門鐵克公司最近的分析表明,在最近一周的垃圾郵件中,68%的垃圾郵件的網(wǎng)址頂級(jí)域名為com,18%的國(guó)家代碼頂級(jí)域名為cn,即中國(guó)的頂級(jí)域名,5%的頂級(jí)域名為net。俄羅斯的國(guó)家代碼頂級(jí)域名為ru,德國(guó)的國(guó)家代碼頂級(jí)域名為de。垃圾郵件發(fā)送者們經(jīng)常輪換使用頂級(jí)域名,以回避防垃圾郵件過濾器。
目錄常被用來排列或顯示某些文件。賽門鐵克發(fā)現(xiàn)盡管71%的垃圾郵件網(wǎng)址沒有目錄,但2.4%的網(wǎng)址包含6個(gè)以上的目錄。垃圾郵件發(fā)送者們經(jīng)常使用多個(gè)目錄,力圖使創(chuàng)造的網(wǎng)址看上去像合法網(wǎng)址,這一點(diǎn)與子域名類似。
網(wǎng)頁(yè)仿冒隨著網(wǎng)絡(luò)郵件的出現(xiàn)繼續(xù)演變
關(guān)于網(wǎng)絡(luò)郵件仿冒的報(bào)告最早是在2008年初,但是最近迅猛增加。該輪攻擊的主要目標(biāo)是獲取網(wǎng)絡(luò)郵件證書,如密碼和聯(lián)系人名單的電子郵件地址。網(wǎng)絡(luò)郵件仿冒者已經(jīng)采用多種不同的方案,以試圖確保收集該信息。這些方案包括:
方案1:
“我們來信通知您,鑒于所有電子郵件帳戶發(fā)生擁塞,我們將采取一些臨時(shí)性的維護(hù)服務(wù),但是擔(dān)心客戶的電子郵件帳戶會(huì)在這個(gè)過程中失效。為了避免您的電子郵件帳戶失效,并使您的郵件記錄繼續(xù)留在我們的數(shù)據(jù)庫(kù)中,建議您向我們提供如下信息。否則,由于安全原因,您的電子郵件帳戶將在48個(gè)小時(shí)內(nèi)暫停使用。”
方案2:
“由于電子郵件用戶抱怨我們的(名稱略)網(wǎng)絡(luò)郵件系統(tǒng)中出現(xiàn)垃圾郵件,我們進(jìn)行了調(diào)查。調(diào)查顯示,您的電子郵件地址受到牽連,該地址在我們的(名稱略)網(wǎng)絡(luò)郵件系統(tǒng)中發(fā)送垃圾郵件。因此,如果您不在24小時(shí)內(nèi)將要求的信息發(fā)送給我們,您的用戶名將失效。”
和其他的網(wǎng)頁(yè)仿冒信息一樣,這些都是經(jīng)過精心策劃的,看起來就像出自于特定的合法組織一樣。然后,該組織的成員就會(huì)成為垃圾郵件攻擊的目標(biāo)。網(wǎng)絡(luò)郵件仿冒的一個(gè)常見特征是,郵件僅以文本方式發(fā)送。和傳統(tǒng)網(wǎng)絡(luò)仿冒信息不同的是,該信息不包含虛假的URL鏈接。收件人在回復(fù)時(shí)只需使用“回復(fù)”標(biāo)題中的地址或者郵件正文中的郵件地址。
顯然,只要有利可圖,仿冒郵件的發(fā)送者就會(huì)不斷改進(jìn)他們的手段,以欺騙個(gè)人和機(jī)構(gòu)。
#p#
新年出現(xiàn)新一輪欺詐性攻擊
2009年才過去一天多,某個(gè)垃圾郵件發(fā)送者就決定發(fā)動(dòng)新一輪欺詐性攻擊。垃圾郵件發(fā)送者自稱為一家頗負(fù)盛名的銀行機(jī)構(gòu),向人們發(fā)送帶有陷阱的新年賀卡。郵件中包含一個(gè)用于查看其他信息的鏈接。當(dāng)收件人點(diǎn)擊網(wǎng)址鏈接時(shí),就會(huì)被要求輸入“下框中提示的個(gè)人ID或16位卡號(hào)(非信用卡號(hào))以及后面的通行碼和注冊(cè)號(hào)”,以接收關(guān)于銀行欺詐的緊急告警。
2008假日垃圾郵件回顧
要把人們聚集到一起,聚會(huì)是最好的形式。放假期間的垃圾郵件同樣如此。商家利用假日大肆兜售成人用品、休閑娛樂用品、金融理財(cái)產(chǎn)品及醫(yī)療產(chǎn)品。419個(gè)垃圾郵件發(fā)送者也同樣以發(fā)動(dòng)新的垃圾郵件攻擊來慶祝節(jié)日。放假期間垃圾郵件攻擊使用的語(yǔ)言并不限于英語(yǔ),還包括非英語(yǔ)類垃圾郵件,如主題為Cadeaux sexy pour Noel的垃圾郵件。其他包括:
主題:2009新型號(hào)推出
主題:圣誕安全網(wǎng)上購(gòu)物從這里開始
主題:好工作任你選!!!假期聯(lián)系人:
主題:英國(guó)圣誕彩票大獎(jiǎng)等你拿
主題:網(wǎng)上圣誕公告
主題:假日賀卡!無需注冊(cè)!完全免費(fèi)!
主題:讓佛蒙特玩具熊為你傳遞溫馨的節(jié)日問候
垃圾郵件發(fā)送者擴(kuò)大產(chǎn)品范圍,兜售違禁藥物
以健康為主題的垃圾郵件約占全部垃圾郵件的11%。此類垃圾郵件通常包含能夠在藥店合法購(gòu)買的藥物。另一種以藥物為主題的電子郵件的出現(xiàn)有點(diǎn)令人驚訝。該郵件出現(xiàn)于2008年12月,一般會(huì)引起執(zhí)法機(jī)構(gòu)的注意。這類垃圾郵件的主題包括:“搖頭丸(家庭聚會(huì)首選,與好友分享)”。如果收件人對(duì)他們提供的東西感興趣,文本信息就會(huì)引導(dǎo)收件人通過電子郵件答復(fù)其中一個(gè)免費(fèi)網(wǎng)絡(luò)郵件帳戶。
【編輯推薦】
【責(zé)任編輯:王文文 TEL:(010)68476606】
