回顾2014年,垃圾邮件仍然没有被消灭,但不论是收信人或是过滤机制,都已经逐渐适应它的存在,垃圾邮件的量已趋稳定,已不再是主要的关注重点。我们对于电子邮件仍有相当的依赖度,恶意攻击者绝不会放弃这个简单好用的攻击管道,各种通过电子邮件而来的攻击,才是需要重视的议题。
2014年垃圾邮件与威胁邮件趋势
2014年第四季的垃圾邮件占全体邮件流的比例,相较于前三季有较明显的下降趋势。2014年全年垃圾邮件的变化虽略有震荡,但就整年度趋势而言大致持平,平均仍占总邮件量80%左右。
2014年最大宗的威胁邮件为冒名伪造,这些邮件多半为诈骗邮件,但有部份广告邮件也会采取类似的手法,防止被列入黑名单;其次为退信攻击,夹带恶意档案的邮件位居第三。值得注意的是,夹带恶意档案的手法比起过往有更大的变化性,不再是单纯压缩档夹一个。exe或。scr,在2014下半年有许多的恶意档案是以。doc、。pdf的格式寄送的。
在2014年第四季,比较值得注意的是各种病毒邮件的流行。常见的病毒为过去流行的Botnet病毒变种,或为恶意程式的前导下载器。
这些病毒信的特色:
- 内容极短且不含广告行销字眼
- 以相类似的主旨、手法进行大量发送
- 在很短的时间内又会出现新的变种,因此防毒软件无法在第一时间有效检测
另一个值得留意的趋势是,许多的大规模滥发病毒信,采用的是.doc、.xls等常见的文书处理格式,他们多半为Office巨集病毒,当Word安全设置不当或被攻击者不慎允许执行巨集时,便会触发巨集病毒。
2014年的攻击邮件,ASRC观察到下列的变化
- APT攻击邮件也使用 .exe木马程式 试图入侵
APT攻击,过往都夹带特制的恶意文件(例如:.doc、.xls但其中并不含巨集程式码),直接攻击文书处理软件的漏洞或弱点。以恶意文件展开攻击的方式不利于防毒侦测,也较容易让受攻击者警觉心松懈。但在今年我们发现APT攻击也会直接使用。exe档木马的方式,试图入侵。
- 钓鱼邮件利用表单产生器,建置表单更便利且难以使用黑名单过滤恶意表单
钓鱼邮件在2014年最主要的演化重点是利用了许多公开的表单产生器,可以很便利的建置骗取攻击对象帐号密码的表单,而且难以直接使用黑名单的方式将这些恶意表单滤除。这类钓鱼邮件的主旨内容多半声称受攻击者的电子邮件信箱出现空间不足,需要登入验证,而发送者或署名通常会使用IT管理员常用的名称,如:admin等;而帐号密码被骗取成功的邮箱不仅及邮件内容会泄密,通常这个邮箱还会被用以攻击其它关联者的邮箱。
2015年我们可以预见,来自电子邮件攻击将加剧,单纯的防毒软件越来越难在第一时间对这些恶意的攻击档案做正确的辨识及隔离。邮件过滤机制将要同时面对垃圾邮件、病毒与钓鱼邮件,及特制的APT邮件攻击议题。而个人资安意识方面,除了资安相关教育训练、演练提高个人警觉外,也需要良好的作业习惯与环境设定(例如:不隐藏副档名与隐藏档…等),才能达到更好的防范效果,最好能搭配个人沙盒机制供开启难以辨识的可疑文件,以便能保护重要的工作环境。
※关于ASRC垃圾讯息研究中心:
ASRC垃圾讯息研究中心(Asia Spam-message Research Center),长期与中华数位科技合作,致力于全球垃圾邮件发展特徵之研究事宜,并运用相关数据统计、调查、趋势分析、学术研究、跨业交流、研讨活动等方式,促成产官学界共同致力于净化网际网络之电子邮件使用环境。
