首页 > 新闻 > 国内 >

ASRC 2014第二季电子邮件安全趋势

2014-09-11 09:14:30   作者:   来源:CTI论坛   评论:0  点击:


  2014年第二季,垃圾邮件占全体流量没有持续升高,但垃圾邮件用于规避侦测的方法却始终没有停止演进,垃圾邮件发送者开始大量利用编码、HTML等相关特殊符号等交错应用,达成规避侦测却不妨碍收信者阅读的区隔。本季出现的恶意邮件是较为棘手的,除了新出现的CryptoWall勒索病毒外,CVE-2014-1716漏洞被揭露时,也是一时无法可防的。

  第二季电子邮件安全趋势观察

  1. 垃圾邮件占比虽下滑,仍占整体78%以上

  2014年第二季,垃圾邮件占全体流量没有持续升高,但垃圾邮件用于规避侦测的方法却始终没有停止演进,占全体邮件流的比例持续下滑,占整体邮件的比例大约在78%~80%间。其中垃圾邮件比较大宗的发送国仍为中国。

  2. 威胁邮件中,以冒名伪造的邮件为最大宗

  特别的是冒名的邮件占比成了最大宗,带有恶意档案的邮件也较上一季上升不少。本季出现较大宗带有连往钓鱼网站超连结的邮件;冒名发信后,要求回信至与发信人完全无关的电子邮件位址邮件;以及冒名金融、第三方支付、快递公司等的伪造邮件。

  3. 垃圾及钓鱼邮件,使用特殊符号躲避防护机制扫描

  垃圾邮件开始大量使用某些特殊符号来躲避垃圾邮件防护机制的扫描。这些特殊符号多半都可以被浏览器或发信软件自动转换为一般常见的符号,因此一般收信者在视觉或点击操作上并不会察觉有异,但却能成功躲过某些侦测机制。

  而钓鱼邮件也开始向垃圾邮件学习躲避被侦测的方法,故意在邮件内容中塞入大量垃圾字符(spammy),试图躲避一般的判断检查。

  4. 诈骗邮件运用人性弱点进行社交工程攻击

  常见的诈骗邮件从来也没有缺席,没有太花俏的技术,纯粹利用人心中的弱点,要求其回复电子邮件,以便进行更进一步的社交工程攻击。

  5. 发现夹带CryptowWall 勒索病毒的邮件

  此外,我们在第二季也发现了带有CryptoWall勒索病毒邮件。

  一旦遭到CrptoWall感染,并且连接网际网络的话,电脑中的重要档案将被自动加密,即便清除CryptoWall病毒,也无法自行还原遭到加密的档案。针对病毒,建议在事前经常进行备份并做好防范,付出「赎金」并不保证一定能获得解密,而且会鼓舞此类犯罪的增长。

  6. APT攻击邮件十分活络

  利用PDF、Word弱点进行APT攻击的邮件在第二季也十分活跃。除了旧有的文件阅读器漏洞持续被利用外,2014年新发现的CVE-2014-1716的Microsoft Word RTF档案读取弱点也在被公布后,快速的被用以结合时事,并对相关政府单位进行APT攻击。

  垃圾邮件经常出现在你我的信箱中早已见怪不怪,甚少人会去追究垃圾邮件究竟是如何找上门的!或许,垃圾邮件本身并无大害,顶多算是一种叨扰,但若是特殊的攻击邮件能直接命中标的,就不该再以忽视的角度来看待。第二季的样本分析,看到了不少新的恶意邮件攻击,若是您收到了这样的邮件,除了不要任意开启外,也建议您仔细观察并思考这类恶意攻击是从何而来。此外,对外公开的群组电子邮件帐号经常是恶意邮件发动起始攻击的重要入口,对于开启来自群组帐号的邮件应更加谨慎。

  一般病毒信的扩散,多半由中毒的电脑群而来,它们扩散的标的可能是一组搜集好的名单,也可能是中毒电脑的通讯录名单。若发现病毒或攻击邮件来自自己认识的人,除了做好个人防范外,也应立即通知发信人尽快找出中毒或受骇的关键原因,避免再次遭到攻击或与该发信人间的互动遭到第三方窃听;企业单位也应经常检视自有的Public IP是否被列入RBL,若有则通常代表着内部存在资安漏洞,应尽快寻求解决方法。

  关于ASRC垃圾讯息研究中心:

  ASRC垃圾讯息研究中心(Asia Spam-message Research Center),长期与中华数位科技合作,致力于全球垃圾邮件发展特徵之研究事宜,并运用相关数据统计、调查、趋势分析、学术研究、跨业交流、研讨活动等方式,促成产官学界共同致力于净化网际网络之电子邮件使用环境。

分享到: 收藏

专题