2014 第三季電子郵件安全趨勢
2014年第三季,垃圾郵件的總量有攀高的趨勢,除了垃圾郵件多以外,病毒及各種攻擊郵件也有增加的趨勢。相較於第二季,本季的垃圾郵件、惡意郵件都較多樣化、活潑,而且有一段時間或在單點大量發送的特性。垃圾郵件佔比微幅攀高,佔全體80%左右,大宗發送國為中國,其次分別為俄羅斯、印度、南韓與烏克蘭…等。
與第二季的狀況類似,在第三季仍為冒名郵件佔比為最大宗,但佔比較上季略增;帶有惡意檔案的郵件佔比略降。本季出現較大宗的冒名郵件為各種詐騙類郵件,多半會在信中描述一些有利或試探事項,誘騙收信人填入敏感資料並回覆至其指定的信箱,而這個指定的信箱與發信顯示的信箱並不相同。
第三季電子郵件安全趨勢觀察
垃圾郵件運用各式擾亂判斷的手法
來自中國的垃圾郵件仍以隱藏字、改變排列方法、全形或符號等,試圖擾亂垃圾郵件的判斷機制。這樣的手法雖不新穎,但的確可能造成垃圾郵件的判斷機制辨識失敗。更甚者,除了將廣告相關的內容圖片化以躲避內文掃瞄外,還會刻意將圖片檔偽造為.html檔,造成讀信、拆信軟體判斷異常。
除了簡體中文信外,英文語系的廣告信也有特殊樣本。某些郵件,會刻意將收信人的E-Mail位址複製一份放至郵件內容中,這樣的做法可以有效穿過部份將自身網域名稱(Domain)加入白名單的垃圾郵件過濾機制;亦有擾亂郵件內容的比對的效果。
詐騙郵件不曾停歇,查看來信及回信位址可提防
編織美好或令人同情故事的詐騙郵件並沒有停止過。這類郵件事實上並沒有使用甚麼高深的網路技術,純粹以社交工程的方式取信收件人,這類郵件希望的是受害人相信他們所說的,並回信進一步與其接觸,多半他們在信中揭露的來信位址會與收信人按下回信的發信位址不同,這點也算是一個可以提防的辨別重點。
騙取電子郵件帳號密碼的釣魚郵件,區域化程度高
另一種經常見到的釣魚郵件希望騙取的是您的電子郵件帳號密碼。這類郵件的區域化程度算是較高的,比方發送至台灣的信,內容多半會是台灣慣用的繁體中文,但其中的語詞用法依然十分不通順。郵件的內容多半會以恐嚇的方式,誘使收信人點擊其中的連結連至一個表單產生網站,並藉此騙取受害人的電子郵件帳號密碼。這類釣魚信多半從被入侵的主機、或已騙得的電子郵件帳號發出。
病毒與惡意郵件,多半利用隱藏副檔名的功能偽裝圖示誘騙收信人
病毒及惡意郵件的部份,多半仍以傳統的方式於電子郵件中夾入一個壓縮的病毒,並利用Windows系統預設隱藏副檔名的情況下,惡意以檔案圖示誘騙收信人誤導執行,建議使用者取消副檔名隱藏功能。部份病毒郵件則不夾帶病毒檔案,而是給予一個下載病毒檔案連結的方式,誘騙收信人下載。
病毒與惡意郵件改夾帶 .html 檔,有效突破部份防毒或Antispam機制
更進一步的變化則是不夾帶惡意檔案、也不直接在信中給予惡意連結,而是在郵件中夾帶一個.html檔,只有點擊這一個.html檔案,也會導向病毒連結下載的位址。這樣的手法看來似乎多此一舉,但它卻有能有效突破部份防毒或Antispam機制為保護收信人不誤點而將郵件內容連結置換的機制。
利用PDF、Word弱點進行APT攻擊的郵件未見消減
本季惡意郵件中的惡意檔案,除了對於資安意識較高的人容易提防的.exe、.scr檔外,延續第二季的情況,利用PDF、Word弱點進行APT攻擊的郵件在第三季也未見消減。為避免遭受文件類的惡意郵件攻擊,除了可疑的郵件不要任意開啟外,真的非開啟不可的機敏性郵件,建議您在一個虛擬系統內先開啟觀察;若較無機敏性的可疑郵件,可先上傳至Virustotal (https://www.virustotal.com),或malwr.com(https://malwr.com/)進行分析觀察,以確認文件檔案的安全性。
在本季,我們發現病毒有大量發送及高速變型的特性,造成防毒軟體經常會出現攔截不到病毒的空窗期,防毒軟體過去在資訊安全的角色不停受到挑戰,尤其近幾年的各種APT攻擊或惡意文件之類的事件,都衝著防毒軟體公開、需有樣本才能產生病毒碼的先天盲點而來,也因此突顯其它防護的重要性,比方:虛擬環境的沙盒驗證技術、非公開的APT攻擊驗證技術與設備…等,企業及各人使用者也應改變過去僅對防毒軟體的依賴,轉而提高資安防護的習慣、知識,並進一步採用其它適合的輔助措施,才能因應現在多變的網路攻擊環境。
完整的ASRC 2014 第三季電子郵件安全趨勢報告,請至下列網址下載:http://www.asrc-global.com/research01.html
※關於ASRC垃圾訊息研究中心:
ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com 。