賽門鐵克09年1月垃圾郵件現狀報告
【51CTO.com 綜合消息】人們通常習慣在新年到來之際嘗試為自己的工作、生活做出新的改變。然而,當2009年到來之際,垃圾郵件發送者還沒卻從未決定放棄垃圾郵件之戰。最近的垃圾郵件數量統計表明,垃圾郵件已經悄然恢復到此前80%的平均水平。此外,本期報告還詳解了網頁仿冒垃圾郵件的演變,并揭示其詐取受害人信息的真面目。
2009年1月垃圾郵件現狀報告主要內容包括:
垃圾郵發送者不放棄利用經濟衰退發動攻擊
12月垃圾郵件數量持續增加,McColo被關閉的影響漸微
來自垃圾郵件制造者的信息
垃圾郵件發送者繼續搭載合法的電子通訊發送垃圾郵件
網址垃圾郵件——特別調查
網頁仿冒隨著網絡郵件仿冒的現身繼續演變
新年出現新一輪欺詐性攻擊
2008假日垃圾郵件回顧
垃圾郵件發送者擴大產品范圍,兜售違禁藥物
被確定為垃圾郵件的電子郵件比例
定義:
全球互聯網郵件網關垃圾郵件比例(Worldwide Internet Mail Gateway Spam Percentage)是指在掃描電子郵件網關時,被分類操作列為垃圾郵件的電子郵件占總量的比例。這一比例代表了簡單郵件傳輸協議層的過濾,并且不包括在網絡層所檢測到的電子郵件數量。
???? |
圖1 |
全球垃圾郵件分類:
垃圾郵件分類數據來源于賽門鐵克探測網絡(Symantec Probe Network)的信息分類搜集庫。
???? |
圖2 |
垃圾郵件來源地區:
來源地區指過去30天內來自特定國家和地區的垃圾郵件比例。
垃圾郵件發送者利用經濟衰退發動攻擊
隨著經濟衰退繼續影響整個世界,垃圾郵件發送者利用這種狀況向用戶發送垃圾郵件也就不足為奇了。幾則最近的與經濟相關的主題包括:
主題:政府將于最近一個月出臺救助方案
主題:經濟衰退中的債務解決方案
主題:電視報道:衰退帶來的賺錢商機
主題:衰退帶來的賺錢商機
主題:利用惡化的經濟形勢賺錢
主題:新工作在等著你
主題:經濟危機下的生存之道:每周大賺500美元以上
主題:新工作在等著你(周薪不低于500美元)
???? |
圖5 |
讓人感興趣之處在于,這些攻擊與垃圾郵件發送者利用經濟形勢的方式不同。這些攻擊偽造在家工作計劃,并附帶調查性垃圾郵件,二者都以獲取終端用戶的個人信息為目的。與經濟衰退相關的經濟類垃圾郵件見諸于各種語言,包括中文。
我們深信垃圾郵件發送者會一直利用動蕩的經濟形式,誘惑那些容易動心的人們落入他們的惡意陷阱。
12月垃圾郵件數量持續增加,McColo被關閉的影響漸微
據報道,McColo散布的垃圾郵件曾占全球互聯網垃圾郵件的半數,該組織被關閉后,垃圾郵件數量的確大幅減少。然而,自11月中旬以來,隨著原有的僵尸網絡再次出現以及新的僵尸網絡的誕生,垃圾郵件的數量已緩慢回升并逐漸恢復到McColo關閉前80%的水平。
來自垃圾郵件制造者的信息
據賽門鐵克監測,到11月底,垃圾郵件數量曾出現幾次增長高峰期,賽門鐵克對高峰期包含的垃圾郵件進行檢測,發現其中一部分垃圾郵件信息是“加拿大藥店”。
該垃圾郵件使用超文本標記語言格式的信息,并在網址中使用一組不同的域名。在高峰期,包含文本和超文本標記語言內容類型多用途國際郵件擴展部分的垃圾郵件占總量的55%。在McColo關閉之前,含有文本和超文本標記語言內容類型多用途國際郵件擴展部分的垃圾郵件占總量的55%以上。關閉后,該比例平均約為34%。這些垃圾郵件網址里包含數百個使用中國頂級域名.cn的域名。所有域名服務器或者和域名共享一個IP地址,或者使用位于中國境內的其他IP地址。
在第二種情況,用戶被邀請加入社交網站上的一個群組。在這種情況下,電子郵件鏈接到垃圾郵件發送者在社交網站上創建的真實群組。然后,這個群組鏈接到一個免費的博客網站。該博客網站充當中轉站點,將終端用戶重定向到最終的目的網址。目前,觀測的許多垃圾郵件均使用同一個社交網站群組。這可能是因為垃圾郵件發送者以此進行嘗試,也可能是因為建立多個群組需要多個賬號,相當費時。
一旦用戶鏈接到目的網址,會被要求填寫一張個人信息表。這些信息可能被出售給營銷公司,也可能用于將來發送垃圾郵件。
賽門鐵克建議用戶不要輕易接受任何陌生社交網站的邀請。
垃圾郵件發送者搭載合法電子通訊發送垃圾郵件
2008年12月,試圖利用合法的電子郵件通訊的垃圾郵件攻擊數量增加。這種攻擊手段是,垃圾郵件發送者試圖在現有的合法電子通訊和廣告的模板中插入垃圾郵件圖片。這種手段的設計初衷是通過利用郵件中絕大多數看似合法的數據來回避各種垃圾郵件攔截技術。這是垃圾郵件發送者借合法郵件發送者之名發送垃圾郵件的又一個例子。
下面這個例子中,Food Network品牌郵件本身包含了一個推銷各種藥品的垃圾郵件廣告。如果用戶點擊垃圾郵件中的任何一個鏈接,都會進入一個由垃圾郵件發送者操控的網站,該網站用于推銷某些藥品。
#p#
網頁仿冒垃圾郵件——特別調查
國際互聯網域名與地址分配機構(ICANN)規定,所有域名都必須與一家注冊管理機構相連,所有域名申請必須通過一家注冊管理機構提交。現在,注冊的網站有數十萬個。注冊流程簡單,注冊成本也不太高。
垃圾郵件發送者可以輕易地注冊域名,而且注冊管理機構難于區分垃圾郵件發送者和合法組織及網站開發機構。垃圾郵件發送者在垃圾郵件中經常輪換使用域名,認為這一策略能夠回避依靠模式匹配阻止垃圾郵件的過濾軟件。一般而言,目前近90%的垃圾郵件均含有某類網址。
頂級域名(TLD)位于所有域名最后一個點之后,是整個域名的一部分。例如,在www.symantec.com域名中,頂級域名是com。國家代碼頂級域名(ccTLD)是一個國家或獨立區域普遍預留或使用的頂級域名。賽門鐵克公司最近的分析表明,在最近一周的垃圾郵件中,68%的垃圾郵件的網址頂級域名為com,18%的國家代碼頂級域名為cn,即中國的頂級域名,5%的頂級域名為net。俄羅斯的國家代碼頂級域名為ru,德國的國家代碼頂級域名為de。垃圾郵件發送者們經常輪換使用頂級域名,以回避防垃圾郵件過濾器。
目錄常被用來排列或顯示某些文件。賽門鐵克發現盡管71%的垃圾郵件網址沒有目錄,但2.4%的網址包含6個以上的目錄。垃圾郵件發送者們經常使用多個目錄,力圖使創造的網址看上去像合法網址,這一點與子域名類似。
網頁仿冒隨著網絡郵件的出現繼續演變
關于網絡郵件仿冒的報告最早是在2008年初,但是最近迅猛增加。該輪攻擊的主要目標是獲取網絡郵件證書,如密碼和聯系人名單的電子郵件地址。網絡郵件仿冒者已經采用多種不同的方案,以試圖確保收集該信息。這些方案包括:
方案1:
“我們來信通知您,鑒于所有電子郵件帳戶發生擁塞,我們將采取一些臨時性的維護服務,但是擔心客戶的電子郵件帳戶會在這個過程中失效。為了避免您的電子郵件帳戶失效,并使您的郵件記錄繼續留在我們的數據庫中,建議您向我們提供如下信息。否則,由于安全原因,您的電子郵件帳戶將在48個小時內暫停使用。”
方案2:
“由于電子郵件用戶抱怨我們的(名稱略)網絡郵件系統中出現垃圾郵件,我們進行了調查。調查顯示,您的電子郵件地址受到牽連,該地址在我們的(名稱略)網絡郵件系統中發送垃圾郵件。因此,如果您不在24小時內將要求的信息發送給我們,您的用戶名將失效。”
和其他的網頁仿冒信息一樣,這些都是經過精心策劃的,看起來就像出自于特定的合法組織一樣。然后,該組織的成員就會成為垃圾郵件攻擊的目標。網絡郵件仿冒的一個常見特征是,郵件僅以文本方式發送。和傳統網絡仿冒信息不同的是,該信息不包含虛假的URL鏈接。收件人在回復時只需使用“回復”標題中的地址或者郵件正文中的郵件地址。
顯然,只要有利可圖,仿冒郵件的發送者就會不斷改進他們的手段,以欺騙個人和機構。
#p#
新年出現新一輪欺詐性攻擊
2009年才過去一天多,某個垃圾郵件發送者就決定發動新一輪欺詐性攻擊。垃圾郵件發送者自稱為一家頗負盛名的銀行機構,向人們發送帶有陷阱的新年賀卡。郵件中包含一個用于查看其他信息的鏈接。當收件人點擊網址鏈接時,就會被要求輸入“下框中提示的個人ID或16位卡號(非信用卡號)以及后面的通行碼和注冊號”,以接收關于銀行欺詐的緊急告警。
2008假日垃圾郵件回顧
要把人們聚集到一起,聚會是最好的形式。放假期間的垃圾郵件同樣如此。商家利用假日大肆兜售成人用品、休閑娛樂用品、金融理財產品及醫療產品。419個垃圾郵件發送者也同樣以發動新的垃圾郵件攻擊來慶祝節日。放假期間垃圾郵件攻擊使用的語言并不限于英語,還包括非英語類垃圾郵件,如主題為Cadeaux sexy pour Noel的垃圾郵件。其他包括:
主題:2009新型號推出
主題:圣誕安全網上購物從這里開始
主題:好工作任你選!!!假期聯系人:
主題:英國圣誕彩票大獎等你拿
主題:網上圣誕公告
主題:假日賀卡!無需注冊!完全免費!
主題:讓佛蒙特玩具熊為你傳遞溫馨的節日問候
垃圾郵件發送者擴大產品范圍,兜售違禁藥物
以健康為主題的垃圾郵件約占全部垃圾郵件的11%。此類垃圾郵件通常包含能夠在藥店合法購買的藥物。另一種以藥物為主題的電子郵件的出現有點令人驚訝。該郵件出現于2008年12月,一般會引起執法機構的注意。這類垃圾郵件的主題包括:“搖頭丸(家庭聚會首選,與好友分享)”。如果收件人對他們提供的東西感興趣,文本信息就會引導收件人通過電子郵件答復其中一個免費網絡郵件帳戶。
【編輯推薦】
【責任編輯:王文文 TEL:(010)68476606】
