信息來源：FreeBuf

本文主要分析了2019年第三季度的垃圾郵件和網(wǎng)絡(luò)釣魚情況，以下為分析內(nèi)容。

情況分析

亞馬遜服務(wù)

在第三季度發(fā)現(xiàn)了大量與亞馬遜Prime相關(guān)的詐騙郵件。大多數(shù)帶有假冒亞馬遜登錄頁面鏈接的網(wǎng)絡(luò)釣魚郵件提供了新價(jià)格或購買物品的獎(jiǎng)勵(lì)，或報(bào)告會員問題等。

騙子還使用了另一種欺詐方案：電子郵件通知受害者，他們?nèi)∠麃嗰R遜Prime的請求已被接受，如果他們改變主意，應(yīng)該撥打郵件中的號碼。由于擔(dān)心自己的賬戶可能遭到黑客攻擊，受害者撥打了這個(gè)號碼，在通話過程中，騙子會騙取他們的個(gè)人數(shù)據(jù)。

文件和自拍照片

本季度發(fā)現(xiàn)與盜取文件照片和自拍相關(guān)的欺詐行為激增（通常是出于注冊或身份識別的目的）。在貌似來自支付系統(tǒng)和銀行的網(wǎng)絡(luò)釣魚電子郵件中，用戶被要求通過一個(gè)特殊頁面上傳帶有ID card的自拍來確認(rèn)身份，這些假網(wǎng)站看起來相當(dāng)可信。

一些騙子甚至在沒有虛假網(wǎng)站的情況下就成功了。例如，意大利用戶遭受了一次垃圾郵件攻擊，是一封關(guān)于智能手機(jī)贈品的電子郵件。想要領(lǐng)獎(jiǎng)必須將ID card照片和自拍發(fā)送到指定的電子郵件地址。

為了獲得文件副本，騙子還發(fā)送了虛假的Facebook信息。在這些信息中，收件人被告知由于對某些帖子內(nèi)容投訴，他們的賬戶訪問受到限制。為防止他們的帳戶被刪除，需要發(fā)送一張照片或掃描駕駛執(zhí)照和其他文件等信息。

YouTube和Instagram

騙子繼續(xù)在新平臺上利用傳統(tǒng)方案。例如，YouTube視頻向用戶解釋說，他們必須進(jìn)行調(diào)查并提供個(gè)人詳細(xì)信息，之后將收到一筆來自大公司的付款或禮物等，視頻下方有來自據(jù)稱“滿意客戶”的虛假評論。

類似的計(jì)劃也在Instagram上進(jìn)行了一輪。以各種名人的名義發(fā)布廣告，通過抽獎(jiǎng)或完成付費(fèi)調(diào)查的獎(jiǎng)勵(lì)來吸引粉絲。與YouTube視頻一樣，這樣的帖子下有很多虛假的評論。

學(xué)校方面

在第三季度有一系列與教育相關(guān)的攻擊。攻擊者使用假冒大學(xué)登錄頁面，從學(xué)生和講師的個(gè)人帳戶中獲取用戶名和密碼。

這些騙子尋找的不是財(cái)務(wù)數(shù)據(jù)，而是大學(xué)研究論文，以及可能保存在服務(wù)器上的任何個(gè)人信息。這種數(shù)據(jù)在暗網(wǎng)上需求量很大。即使最初看起來毫無用處的數(shù)據(jù)也可以被網(wǎng)絡(luò)罪犯用來準(zhǔn)備有針對性的攻擊。

創(chuàng)建仿冒網(wǎng)頁的一種方法是入侵合法資源并在其上發(fā)布欺詐內(nèi)容。在第三季度，釣魚者入侵學(xué)校網(wǎng)站，并在網(wǎng)站上創(chuàng)建假網(wǎng)頁，以模仿常用登錄表單。

騙子還試圖竊取教育服務(wù)提供商郵件服務(wù)器的用戶名和密碼。

蘋果產(chǎn)品發(fā)布

今年9月，蘋果發(fā)布了最新產(chǎn)品，與往常一樣，發(fā)布會之后粉絲和騙子也紛紛跟進(jìn)——在郵件流量中檢測到了竊取蘋果身份驗(yàn)證數(shù)據(jù)的釣魚電子郵件。

騙子還通過發(fā)送垃圾信息獲取用戶的個(gè)人數(shù)據(jù)。

在新產(chǎn)品線揭幕前夕，提及蘋果品牌的假冒網(wǎng)站點(diǎn)擊有所上升，并在當(dāng)天達(dá)到峰值：

付費(fèi)電視用戶攻擊

在英國觀看電視或錄制直播節(jié)目，需要支付許可費(fèi)。這被垃圾郵件攻擊者利用，他們發(fā)送大量假許可證到期/續(xù)訂消息。他們經(jīng)常使用標(biāo)準(zhǔn)模板：由于銀行拒絕付款，許可證無法續(xù)期。

要求收件人通過單擊指向虛假網(wǎng)站的鏈接來驗(yàn)證（或更新）他們的個(gè)人和/或付款詳細(xì)信息。

利用網(wǎng)站反饋表單發(fā)送垃圾郵件

大公司的網(wǎng)站通常都有一張甚至幾張反饋表。這些信息可以用來提問、表達(dá)愿望、參加公司活動或訂閱時(shí)事通訊。但通過這種形式發(fā)送的信息往往不僅來自客戶或感興趣的訪客，也來自騙子。

以前的垃圾郵件發(fā)送者將目標(biāo)鎖定在公司郵箱上，現(xiàn)在欺詐者使用這些郵箱向外部人員發(fā)送垃圾郵件。因?yàn)橐恍┕緵]有注意網(wǎng)站安全，攻擊者借助腳本繞過簡單的驗(yàn)證碼測試，并使用反饋表單集體注冊用戶。結(jié)果，使用其郵件地址的受害者收到了合法的注冊確認(rèn)電子郵件，但其中包含來自騙子的消息，而公司本身沒有收到任何信息。

幾年前，此類垃圾郵件開始激增，最近變得更加流行。

對公司電子郵件的攻擊

上個(gè)季度觀察到主要的垃圾郵件活動：騙子發(fā)送語音郵件通知，如果要收聽語音郵件，收件人需要點(diǎn)擊（仿冒）鏈接，該鏈接指向Microsoft服務(wù)登錄頁的網(wǎng)站。這是一個(gè)用于登錄到Outlook或直接登錄到Microsoft帳戶的頁面。

值得注意的是，最近針對企業(yè)部門的垃圾郵件攻擊數(shù)量顯著增加。

另一個(gè)常見的手段是報(bào)告電子郵件被滯留在隊(duì)列中。為了接收這些被認(rèn)為無法發(fā)送的消息，受害者會被提示點(diǎn)擊鏈接，并在另一個(gè)偽造的登錄頁面上輸入公司帳戶憑據(jù)。

數(shù)據(jù)分析：垃圾郵件

垃圾郵件在郵件流量中的比例

2019年第三季度，8月份的垃圾郵件比例最高（57.78%）。全球郵件流量中垃圾郵件的平均百分比為56.26%，比上一個(gè)報(bào)告期下降了1.38%。

來源國家與地區(qū)

前五大垃圾郵件來源國與上季度持平，所占比例略有不同。中國排名第一（20.43%），其次是美國（13.37%）和俄羅斯（5.60%）。第四名是巴西（5.14%），第五名是法國（3.35%）。德國排名第六（2.95%）。

郵件容量

在2019年第三季度，非常小的電子郵件（2kb）在垃圾郵件中的比例下降了4.38%至82.93%。5-10 KB大小的電子郵件比例較上季度略有增長達(dá)到3.79%。

郵件中的惡意附件

2019年第三季度共檢測到48089352個(gè)惡意電子郵件附件，比第二季度增加近500萬個(gè)。7月份是最活躍的月份，有1700萬郵件。

第三季度，郵件惡意附件排名第一的是Office malware Exploit.MSOffice.CVE-2017-11882.gen（7.13%）；第二位是Worm.Win32.wvb.vam Worm（4.13%），第三位是針對微軟Office用戶的Trojan.MSOffice.SAgent.gen（2.24%）。

惡意軟件家族方面，Backdoor.Win32.Androm家族（7.49%）排名第一。排在第二位是Exploit.MSOffice.CVE-2017-11882.gen家族的Microsoft Office漏洞（7.20%）。第三位是Worm.Win32.WBVB.vam（4.60%）。

       惡意郵件攻擊目標(biāo)國家/地區(qū)

2019年第三季度，排名第一的是德國，越南上升到第二位（5.92%），巴西排在第三，只落后一小部分。

數(shù)據(jù)分析:釣魚郵件

2019第3季度，反釣魚系統(tǒng)阻止了105220094次釣魚鏈接。

地理分析

在2019年第三季度，受到網(wǎng)絡(luò)釣魚攻擊的用戶比例最大的國家是委內(nèi)瑞拉（30.96%），該國在上一季度排名第二，此后增加了5.29個(gè)百分點(diǎn)。

希臘排名第二（22.67%），第三名是巴西（19.70%）。

受到攻擊的組織

今年，全球門戶網(wǎng)站類別的攻擊比例（23.81%）首次超過對信貸組織的攻擊比例（22.46%）。社交網(wǎng)絡(luò)（20.48%）排名第三。

此外，前十名沒有政府和稅收，取而代之的是金融服務(wù)類別，該類別涵蓋保險(xiǎn)、租賃、經(jīng)紀(jì)和其他服務(wù)的提供者。

總結(jié)

本季度垃圾郵件在全球郵件流量中的平均份額（56.26%）較上一報(bào)告期下降了1.38%，與2019年第二季度相比，嘗試重定向到釣魚網(wǎng)頁的次數(shù)下降了2500萬次。

本季度垃圾郵件來源國榜首是中國，占比為20.43%，Backdoor.Win32.Androm成為最常見的郵件惡意軟件家族，其郵件流量占比達(dá)到7.49%。