利用假冒SSL證書的釣魚攻擊瞄準信用卡服務品牌
本期報告概要:
在經濟世界里,媒體使用“BRIC”(金磚四國)這一首字母縮略詞指代巴西、俄羅斯、印度和中國這四個新興市場的領導者。本月報告中,我們將看看這些國家是否也是垃圾郵件的新興市場領導者。在過去一年里,來自這些國家的垃圾郵件數量是增長了還是下降了?這一團體中各個國家的垃圾郵件市場份額是增加了還是減少了?
如上月報告所預測,自2010年8月以來,平均每日垃圾郵件的發送總量確實出現了首次增長。2月份,日均垃圾郵件發送量逐月增長了8.7%。總體來看,2月份垃圾郵件數量占郵件發送總量的80.65%,較一月份的79.55%有所上升。
本月,釣魚攻擊的總量增加了38.56%。釣魚攻擊數量出現大幅度增長的領域主要為自動工具包和特殊域名領域。利用自動工具包創建的釣魚網站數量上升了約50.33%,而特殊URL攻擊的數量上升了33.73%,含有IP域名的釣魚網站(如http://255.255.255.255)數量下降了約47.22%。Web托管服務占釣魚攻擊總數的13%,比上個月增加了38.97%。非英語類釣魚網站的數量大幅度上升,增長了76.51%。2月份,在非英語類釣魚網站中,葡萄牙語、法語和西班牙語釣魚網站所占比例最高。
本期報告主要內容:
2011年2月:垃圾郵件主題分析
金磚四國垃圾郵件調查分析
手機充值需提供3D安全密碼
利用假冒SSL發起針對信用卡服務品牌的大規模釣魚攻擊
本月熱點事件分析:
2011年2月:垃圾郵件主題分析
尼日利亞419詐騙類型的郵件攻擊通常規模較小,并非使用相同的標題發送成百上千萬封垃圾郵件。即使這一類別的攻擊逐月增長了5%,它也并未出現在上述主題列表中。但是,賽門鐵克觀察到,許多419類垃圾郵件攻擊中利用了當前發生的事件。
?? 
金磚四國垃圾郵件調查分析
眾所周知,金磚四國(巴西、俄羅斯、印度和中國)是全球新興市場的領導者。近年來,這些國家顯示了強有力的經濟增長,同時在寬帶互聯網方面也發展迅猛。寬帶使用的增長也使這些國家易于受到僵尸網絡的攻擊。
因此,我們會有這樣一個問題,這些國家在垃圾郵件方面是怎樣的?
?? 
上面的圖表顯示了來自每個國家的垃圾郵件比例,突出了三個主要趨勢:
總的來說,在過去十五個月里,金磚四國的垃圾郵件市場份額呈現下降趨勢
巴西的情況沒有太大改變
另一方面,俄羅斯垃圾郵件的市場份額有所增加
在過去的十五個月里,就全球垃圾郵件的產出而言,歐洲、中東和非洲(EMEA)地區一直排在各地區前列。在這一階段中,雖然歐洲、中東和非洲地區的眾多國家位列前茅,但其中有一個國家在垃圾郵件市場份額的增長方面可謂鶴立雞群。
雖然2009年11月荷蘭所發送的垃圾郵件數量僅占全球總數的2.3%,但2011年2月該國的垃圾郵件產出卻增長到5.3%。實際上,該國的這一數字在2010年6月份還要更高,達到6.3%。
?? 
手機充值需提供3D安全密碼
眾所周知,釣魚攻擊者們制定了不同的策略,以引誘使用者相信其釣魚網站是真實而安全的。我們注意到,釣魚網站在挖空心思套取用戶的3D安全碼。
什么是3D安全碼?
所謂的3D安全碼是只有銀行和買家知道的密碼。換句話說,在網上交易中,賣家是不知道此號碼的。從本質上說,這一號碼是特別單獨發給持卡人的額外的密碼,以確保網上交易的安全。
許多網上交易通常要用到信用卡/借記卡號碼和卡背面的號碼。如果有人看到磁卡,并復制或寫下該卡上面的這些號碼,那么,持卡人就會面臨自己在網上交易中錢財被盜的風險。3D安全密碼的使用可以避免這一風險,因為這一密碼不會出現在卡上面的任何地方。事實上,卡的密碼由卡片所有者來輸入的做法能夠有助于卡片的驗證。
當卡片號碼被他人拷貝時,3D安全碼可以降低持卡人的風險。然而,如果3D安全碼本身被使用者透露給了釣魚網站,那么使用者的錢財仍會處于風險之中。釣魚者意識到這一點,他們引誘用戶在釣魚網站上輸入自己的3D安全碼以及卡片的其他詳情。
?? 
最近,賽門鐵克觀察到了此類情形,其中釣魚網站要求使用者在網上交易中提供自己的信用卡詳情及3D安全碼。其誘餌是手機話費網上充值。該釣魚網站針對的是土耳其的用戶,釣魚網頁也是土耳其語。同時,所要求提供的信用卡詳情也是土耳其的一些銀行信息。所要求提供的信息包括手機號碼、充值金額、銀行名稱、持卡人姓名、信用卡號碼、到期日期、CVV和3D安全碼。為了增加誘惑力,釣魚網頁聲稱,用戶每充值20美元即可得到銀行的兩份價值10美元的特殊禮品。輸入信息后,用戶就被指向了釣魚網站上的一個網頁,并要求用戶提供更多信息。
?? 
第二個釣魚網頁上要求提供的信息包括母親的婚前姓名、持卡人的出生日期、賬戶號碼和密碼。釣魚網頁聲稱,點擊該頁下面的按鈕后,用戶手機將會收到一個包括密碼在內的短信。該網頁還警告用戶,如果所輸入的信息不完整,則操作無效,從而導致交易失敗。在該按鈕下面是一條信息,聲稱網上交易使用3D安全碼是安全的,高度加密系統可以防止未經授權的使用。顯而易見,這一聲明的目的旨在獲取用戶的信任。
該釣魚網站的第三頁要求用戶提供此前聲稱已通過短信發送給用戶的密碼。該釣魚網頁還提示用戶,用戶收到短信可能需要一至五分鐘,并要求用戶不用關閉該頁。當然,這只是一個伎倆,用戶不會收到任何密碼的。
釣魚URL使用了IP域名(例如,類似http://255.255.255.255)。該釣魚網站托管于美國奧蘭多的服務器。
?? 
利用假冒SSL發起針對信用卡服務品牌的大規模釣魚攻擊
2月份,賽門鐵克觀察到一次針對某知名信用卡服務品牌的大規模釣魚攻擊。此次攻擊中使用了大量的釣魚URL,這些URL都是用了SSL證書進行加密。
那么,是什么使這一釣魚攻擊與眾不同?
使用SSL的釣魚網站并不常見,其數量通常是少之又少。要建立一個使用SSL的釣魚網站,釣魚者要創建一個假冒的SSL證書,或攻擊一個合法證書,以實現網站的加密。就以上兩種情形而言,賽門鐵克觀察到,使用SSL的釣魚網站的頻率較低。在這一特別攻擊中,有超過一百個釣魚URL中使用了假冒的SSL證書。它是通過將釣魚網站托管于單一IP地址并分解為多個域名的方式來實現的。也就是說,雖然此次攻擊中使用了大量的URL,它們都轉化為一個單一的IP地址,并包含了相同的網頁。SSL證書是過期的,其發布日期為2006年,有效期到2007年。釣魚者制作這一加密釣魚網站背后的主要動機是使該網站看起來像真的,從而令用戶相信該網站是安全的。
該釣魚網站假冒的是一個信用卡服務品牌,針對的是瑞士的用戶,其使用的語言是法語。網頁還要求用戶提供某一知名電子商務品牌的登錄證書。這樣,釣魚者就可以一石二鳥,通過一次釣魚攻擊獲取兩個品牌的保密信息。該釣魚網站托管于美國加州的服務器。
?? 
該釣魚網站通過兩個步驟要求用戶提供保密信息。第一步是用戶的身份確認。釣魚網站要求用戶輸入姓名、出生日期、地址、電子郵件以及某電子商務品牌的密碼及母親的婚前姓名。第二步則要求用戶提供銀行信息,其中包括銀行名稱、銀行ID、持卡人的姓名、卡的類型、卡號、個人密碼、卡片有效期和CVV號碼。用戶輸入所要求的信息后,該釣魚網站就會將其重新指向一個空白網頁。一旦用戶成為該釣魚網站的犧牲品,釣魚者就可以盜取其信息以獲取經濟利益。
附錄一:“要”與“不要” 安全秘訣,以應對垃圾郵件,保護你的企業、員工和客戶
要:
1.要退訂你不再希望接收的正常郵件。申請接收郵件時,確定你同時選擇接收的其他項目。取消你不想接收的郵件項目。
2.要精心選擇注冊電子郵件地址的網站。
3.要避免在互聯網上公布自己的電子郵件地址。考慮其他選擇 – 例如,訂閱郵件時使用其他郵箱地址;不同郵箱地址用于不同目的,或可考慮一次性電子郵件地址服務。
4.要使用郵件管理員提供的郵件地址,如果可能的話,報告漏檢的垃圾郵件。
5.要刪除所有的垃圾郵件。
6.要避免點擊電子郵件或IM信息中的可疑鏈接,因為它們可能會鏈接到釣魚網站。建議在瀏覽器中直接輸入網站地址,而不要依賴電子郵件提供的鏈接。
7.要時刻確保你的操作系統已進行實時更新,使用綜合安全軟件套裝。
8.要考慮采用一個知名的反垃圾郵件解決方案,如賽門鐵克的Brightmail郵件安全綜合解決方案,以解決整個組織范圍內的郵件過濾問題。
9.要訪問賽門鐵克的垃圾郵件狀態網站,掌握垃圾郵件的最新趨勢。
不要:
1.不要打開未知的電子郵件附件。這些附件可能使你的電腦感染上病毒。
2.不要回復垃圾郵件。一般來說,發信人的電子郵件地址都是偽造的,回復郵件只會帶來更多的垃圾郵件。
3.不要填寫郵件中要求提供個人信息、財務信息或密碼的表格。知名公司不可能通過電子郵件形式要求你提供自己的個人詳情。如果有疑問,請通過獨立的、可信的渠道聯系該公司,如通過核實的電話號碼,或將已知的網絡地址輸入到新的瀏覽窗口(不要點擊郵件中鏈接,或復制粘貼郵件中的鏈接)。
4.不要根據垃圾郵件信息購買產品或服務。
5.不要打開垃圾郵件信息。
6.不要轉發垃圾郵件提供的病毒警告,這些警告通常是圈套。
附錄二:本月數據分析參考
圖一:垃圾郵件來源地區
圖二:垃圾郵件來源地區變化趨勢
?? 
圖三:釣魚攻擊方式的分布
?? 
圖四:釣魚攻擊的對象分布
?? 
