一、季度亮點

1.1 垃圾郵件中的個人數(shù)據(jù)

我們常說，個人數(shù)據(jù)就是詐騙犯的棒棒糖，每個人都應該保證個人數(shù)據(jù)的安全（就是說，千萬不要在可疑網(wǎng)站上提交個人數(shù)據(jù)）。如果犯罪分子得到了你的數(shù)據(jù)，他們就會用來訪問你的個人賬戶，還會發(fā)起針對性攻擊和勒索軟件攻擊。

在第三季度，我們在垃圾郵件中發(fā)現(xiàn)了大量的詐騙郵件。我們曾在今年初報告過這種類型的詐騙活動：要挾受害人支付一筆贖金（以比特幣支付），否則就公開與受害人有關(guān)的“損害性證據(jù)”。新一波攻擊浪潮中的詐騙郵件包含用戶的真實個人數(shù)據(jù)（姓名、密碼還有電話號碼），犯罪分子利用這些信息恐嚇受害者，讓他們相信自己手中握有真實的證據(jù)。該詐騙活動分為數(shù)個階段，犯罪分子很可能是利用了多個個人信息數(shù)據(jù)庫。證據(jù)就是，在不同階段的詐騙活動中受害者電話號碼的格式是不同的。

以前，攻擊目標主要是英語用戶，但在9月份我們觀察到其它語言的一個大爆發(fā)，包括德語、意大利語、阿拉伯語，還有日語。

犯罪分子勒索的贖金從幾百美元到數(shù)千美元不等。不同的郵件中使用的付款地址（比特幣錢包地址）都不相同。在7月份，其中一個錢包收到了17筆交易，交易總額超過了3比特幣（以當時的價格計算，約為1.8萬美元）。

犯罪分子的比特幣錢包收到的交易

還是在第三季度，我們檢測到一個針對企業(yè)用戶的惡意垃圾郵件活動。犯罪分子的主要目的是竊取密碼（例如瀏覽器密碼、即時消息應用、電子郵件客戶端、FTP客戶端以及加密貨幣錢包的密碼等）。為了達到這一目的，犯罪分子將惡意軟件Loki Bot封裝成ISO文件，附加在郵件的附件中。這種釣魚郵件看起來類似于商業(yè)信函或是來自于可信公司的通知函。

1.2 針對銀行業(yè)的惡意垃圾郵件攻擊

僵尸網(wǎng)絡(luò)Necurs曾被發(fā)現(xiàn)在第二季度分發(fā)攜帶惡意IQY（Microsoft Excel Web查詢）附件的垃圾郵件，但現(xiàn)在它已經(jīng)將興趣轉(zhuǎn)移至銀行業(yè)。同第二季度一樣，Necurs分發(fā)的垃圾郵件中包含另一種非典型的文件格式，這一次是PUB（Microsoft Publisher）格式。這些垃圾郵件被發(fā)送到不同國家的信貸機構(gòu)的郵件地址，其PUB附件中包含用于下載和執(zhí)行惡意軟件的木馬下載器（被檢測為Backdoor.Win32.RA-based）。

我們觀察到Necurs的所有者正越來越多地使用各種技術(shù)來繞過安全解決方案，并在惡意垃圾郵件中包含非典型擴展名的附件，以免引起用戶的懷疑。

1.3 以新iPhone為主題

在第三季度末尾Apple發(fā)布了最新的產(chǎn)品。不出意料地，一波與之有關(guān)的垃圾郵件高潮也出現(xiàn)了。這些垃圾郵件偽裝成來自中國的“公司”，向用戶提供一些Apple的配件或小玩意兒。郵件中的鏈接通常指向一個新創(chuàng)建的在線商店。不用多說，如果您在這種沒準兒第二天就沒了的網(wǎng)站上購物，那肯定是錢貨兩空。

伴隨著Apple發(fā)布會到來的，還有利用Apple（及其服務(wù)）的釣魚攻擊模式的增長，以及攜帶惡意附件的垃圾郵件數(shù)量的增長：

1.4 以違禁藥品為主題的傳統(tǒng)垃圾郵件的新偽裝

垃圾郵件發(fā)送者一直在鍥而不舍地尋找繞過郵件過濾措施和增加垃圾郵件“可交付性”的方法。為了達成這一目的，他們嘗試制作看起來像是來自于知名公司和服務(wù)的垃圾郵件（不僅是從內(nèi)容上，而且是從技術(shù)上）。例如，他們照搬了銀行等通知服務(wù)的郵件布局，并在顯眼的位置添加真實的標題。

這種典型的釣魚技術(shù)越來越多地被用在“傳統(tǒng)的垃圾郵件”中 – 例如，在那些提供違禁藥品的垃圾郵件中。舉例而言，本季度我們曾檢測到偽裝成來自大型社交網(wǎng)絡(luò)（包括LinkedIn）的通知的垃圾郵件。我們本以為這些郵件中的虛假鏈接指向的是一個竊取個人數(shù)據(jù)的釣魚網(wǎng)站，結(jié)果它是一個網(wǎng)上藥店。

垃圾郵件發(fā)送者開始使用這種新偽裝的原因是，它們傳統(tǒng)的垃圾郵件類型在很早之前就會被反垃圾郵件系統(tǒng)給識別出來和過濾掉。我們預計這一趨勢還會繼續(xù)增強。

1.5 針對大學

隨著新學年的開始，犯罪分子對獲得大學網(wǎng)站賬戶的訪問權(quán)限的興趣有所增長。我們觀察到針對16個國家的131所大學的攻擊活動。犯罪分子不僅僅想要竊取個人數(shù)據(jù)，還瞄準學術(shù)研究成果。

針對大學網(wǎng)站的釣魚登錄頁面

1.6 針對求職者

為了獲取個人數(shù)據(jù)，攻擊者還會利用求職者的努力。這些釣魚頁面上會提供誘人的工作職位，包括大公司的職位、高額的薪水等等，誘使受害者填寫頁面上的工作申請表格。

1.7 傳播方法

本季度我們繼續(xù)關(guān)注犯罪分子用于分發(fā)網(wǎng)絡(luò)釣魚和其它非法內(nèi)容的方法。但這一次我們還想提請注意那些越來越受歡迎并且被犯罪分子積極利用的方法。

1.7.1 詐騙通知

有些瀏覽器可以讓網(wǎng)站向用戶發(fā)送通知（例如，Chrome中的Push API），這種技術(shù)被犯罪分子注意到了。這種技術(shù)主要是被那些擁有許多第三方網(wǎng)絡(luò)合作伙伴的網(wǎng)站開發(fā)的。借助這種彈出式的通知，用戶們就會被引誘至“小伙伴”的網(wǎng)站，在那里他們被提示輸入一些，比如說，個人信息。每引誘一個用戶，這些網(wǎng)站的所有者就會得到一個分成獎勵。

默認情況下，Chrome要求每一個單獨的網(wǎng)站在彈出通知時都需要申請權(quán)限，而攻擊者為了促使用戶授予這些權(quán)限，會聲稱如果不點擊允許按鈕，頁面就無法繼續(xù)加載。

許多用戶在授予網(wǎng)站允許彈出通知的權(quán)限后就簡單地忘記了這件事。所以當一個消息彈出在屏幕上時，他們往往不知道它是從哪兒來的。

通知往往根據(jù)用戶的地理位置進行量身定制，并以適當?shù)恼Z言顯示

危險在于，這些通知可能在用戶訪問可信資源時彈出。這會誤導受害者信任通知消息的來源：怎么看這個通知都是來自于當前打開的可信資源。舉例而言，用戶可能會看到關(guān)于轉(zhuǎn)賬信息、有獎問答或是小贈品的“通知”，而它們通常都會跳轉(zhuǎn)到釣魚網(wǎng)站、在線賭場或是虛假贈品及付費訂閱的網(wǎng)站。

當用戶點擊通知時打開的網(wǎng)站示例

我們在本季度初曾報告過一個通過點擊通知跳轉(zhuǎn)到在線禮品卡生成器的釣魚活動（該釣魚活動還可以反向運作：通過在線資源提示用戶啟用消息推送通知）。這種生成器聲稱可以為用戶提供各大流行電商的免費禮品卡。然而，為了獲得這些免費禮品卡，用戶必須要通過特殊的鏈接驗證他不是機器人。隨之，用戶就被重定向至許許多多的第三方合作網(wǎng)站，要么是要求參與有獎問答，要么是填寫調(diào)查問卷，或者是下載資料，注冊付費短信服務(wù)等等。

1.7.2 新聞媒體

利用媒體資源來分發(fā)欺詐內(nèi)容并不常見，但非常有效。流行加密貨幣交易所WEX遭遇到的故事就是一個力證。WEX在2017年之前的名字是BTC-E。在2018年8月份，一些虛假的新聞被插入到了俄羅斯媒體“third tier”的專題報道中，新聞中稱由于內(nèi)部問題，該交易所正在將域名更改為wex.ac:

wex.nz的管理部門很快發(fā)推表示（其推文發(fā)布在該交易所的主頁上），wex.ac只是一個模仿者，并警告用戶不要轉(zhuǎn)移資金。

但這并沒能阻止詐騙者，他們又發(fā)布了更多虛假新聞，稱該交易所現(xiàn)在遷移到一個新的域名：wex.sc。

1.7.3 社交網(wǎng)絡(luò)（Instagram）

在詐騙者用于分發(fā)欺詐內(nèi)容的眾多社交媒體平臺中，Instagram尤其值得一提。犯罪分子直到最近才開始注意到這個平臺。在2018年Q3，我們在該平臺上發(fā)現(xiàn)了多個假冒的美國國稅局（IRS）賬號，還有許多假裝成巴西銀行官方賬號的騙子。

Instagram上的假冒IRS賬號

詐騙者們不僅自己創(chuàng)建假冒賬號，還試圖盜取名人的賬號：在今年八月份，我們觀察到一波Instagram賬戶劫持的高潮。由于一種“賬戶認證”的釣魚攻擊，許多賬戶更換了他們的主人– 詐騙者偽裝成Instagram幫助中心的網(wǎng)站，幫助用戶申請賬戶認證徽章（就是那個珍貴的藍色小勾勾），但要求用戶提供登錄憑據(jù)等信息。

當時Instagram還沒有完善它們的賬戶認證功能：由管理員來決定誰來獲得這枚神圣的“徽章”。現(xiàn)在這枚徽章可以直接在賬戶設(shè)置中進行申請了。

二、季度統(tǒng)計：垃圾郵件

2.1 垃圾郵件占全球電子郵件流量中的比例

2018年Q2及Q3，垃圾郵件占全球電子郵件流量中的比例

2018年第三季度垃圾郵件占比的峰值出現(xiàn)在8月份（53.54%）。在全球電子郵件流量中垃圾郵件的平均占比為52.54%，比上一季度增長了2.88個百分點。

2.2 垃圾郵件來源國家的分布

2018年Q3，垃圾郵件來源國家的分布

2018年第三季度垃圾郵件來源國家的前三名和第二季度一樣：中國排第一（13.47%），美國排第二（10.89%），德國排第三（10.37%）。巴西排第四（6.33%），越南排第五（4.41%）。阿根廷（2.64％）是第十。

2.3 垃圾郵件的大小分布

2018年Q2及Q3，垃圾郵件的大小分布

在2018年第三季度，垃圾郵件中超小型郵件（最多2KB）的份額下降了5.81個百分點，為73.36%。5-10KB之間的垃圾郵件與第二季度相比略有增長（+0.76個百分點），達6.32%。10-20KB之間的垃圾郵件同樣也下降了1.21個百分點，為2.47%。而20-50KB之間的垃圾郵件份額基本保持不變，僅上升了0.49個百分點，至3.17%。

2.4 惡意附件：惡意軟件家族的分布

2018年Q3，垃圾郵件中惡意軟件家族的前十名

根據(jù)2018年第三季度的統(tǒng)計數(shù)據(jù)，惡意流量中最常見的惡意軟件仍然是Exploit.Win32.CVE-2017-11882，其份額與上一季度相比增長了0.76個百分點，達11.11%。Backdoor.Win32.Androm同樣有所增長，現(xiàn)在排名第二（7.85%）。Trojan-PSW.Win32.Farei則掉到第三名（5.77%）。第四和第五名分別花落Worm.Win32.WBVB和Backdoor.Java.QRat。

2.5 垃圾郵件目標國家的分布

2018年Q3，垃圾郵件目標國家的分布

第三季度郵件反病毒系統(tǒng)阻止的威脅中排名前三的國家自年初以來未曾發(fā)生變化：德國排第一（9.83%），俄羅斯排第二（6.61%），英國排第三（6.41%）。后面是意大利（第四，5.76%）和越南（第五，5.53%）。

三、季度統(tǒng)計：網(wǎng)絡(luò)釣魚

在2018年第三季度，卡巴斯基的反釣魚系統(tǒng)共阻止了137,382,124次將用戶重定向至詐騙網(wǎng)站的嘗試。全球范圍內(nèi)共有12.1%的卡巴斯基用戶遭到攻擊。

3.1 攻擊地理

2018年第三季度遭到釣魚攻擊的用戶比例最高的國家是危地馬拉（比上一季度增長了8.56個百分點，達18.97％）。

2018年Q3，釣魚攻擊的地理分布

第二季度的冠軍巴西掉到了第二名，本季度該國家遭到釣魚攻擊的用戶比例是18.62%（實際上比第二季度還增長了3.11個百分點）。第三和第四分別是西班牙（17.51％）和委內(nèi)瑞拉（16.75％）。葡萄牙排在第五（16.01%）。

國家	%*
危地馬拉	18.97
巴西	18.62
西班牙	17.51
委內(nèi)瑞拉	16.75
葡萄牙	16.01
中國	15.99
澳大利亞	15.65
巴拿馬	15.33
格魯吉亞	15.10
厄瓜多爾	15.03

*該國家所有卡巴斯基用戶中反釣魚系統(tǒng)被觸發(fā)的比例

3.2 攻擊目標（企業(yè)的類別分布）

遭到釣魚攻擊的目標企業(yè)的類別分布是根據(jù)用戶計算機上的反釣魚系統(tǒng)的觸發(fā)次數(shù)來統(tǒng)計的。每當用戶嘗試打開一個釣魚頁面時（可能是點擊了郵件中的鏈接，或者是點擊了社交媒體聊天消息中的鏈接，也可能是惡意軟件活動的結(jié)果），反釣魚系統(tǒng)就會被激活。然后瀏覽器就會顯示一個禁止訪問的頁面，警告用戶潛在的威脅。

與上一季度一樣，“全球互聯(lián)網(wǎng)門戶網(wǎng)站”類別的企業(yè)排在攻擊目標榜的第一位，其份額為32.27%（增長了7.27個百分點）。

2018年Q3，遭到釣魚攻擊的企業(yè)類別分布

如果粗略地劃分出一個“金融”類別，那么唯有這一類別的企業(yè)遭受的釣魚攻擊比全球互聯(lián)網(wǎng)門戶網(wǎng)站類別要多。這個臨時的類別占了所有釣魚攻擊的34.67%（下降了1.03個百分點）：其子類別銀行和支付系統(tǒng)分別占18.26%和9.85%（第二和第三）；只有子類別在線商店（6.56%）略輸給IT公司（6.91%），將第四名拱手相讓。

四、結(jié)論

在2018年第三季度，垃圾郵件平均占全球電子郵件總流量的52.54%，比上一季度增長了2.88個百分點。卡巴斯基的反釣魚系統(tǒng)共阻止了超過1.37億次將用戶重定向至釣魚網(wǎng)站的嘗試，比上一季度增長了3000萬次。

垃圾郵件發(fā)送者和釣魚攻擊者繼續(xù)利用重大的新聞報道，本季度中的例子是新iPhone的發(fā)布。同時，犯罪分子也還在繼續(xù)尋找用于分發(fā)欺詐內(nèi)容的其它渠道。除了Instagram惡意活動的一個高峰之外，我們還發(fā)現(xiàn)了從網(wǎng)站彈出虛假通知以及利用媒體資源散播虛假新聞的惡意活動。

還應該提及的是利用受害者的真實個人數(shù)據(jù)進行敲詐勒索的垃圾郵件活動擴大了它的攻擊范圍。