许多恶意邮件都仿冒用户信任的信息源(如著名公司或受害者的所在公司),并以紧急事件为由拖用户下水,比如用户的经济问题。
最近黑洞攻击包升级到2.0版本,威胁广大用户安全。日前,Websense专门发布了相关实例,让大家了解黑洞攻击包是如何通过电子邮件为恶的。
Websense ThreatSeeker Network最近拦截到一些恶意电子邮件攻击事件,他们的目的十分明确,就是诱骗受害者访问被植入常见漏洞攻击包的页面。而这些恶意电子邮件的伪装更是五花八门,有一些老圈套,更有一些新的招数。
这些恶意邮件有借Microsoft Exchange服务器之名发来语音邮件确认提示的,有假借ADP发来政府税单提醒的,还有以某网站名义发来感谢用户注册高级服务的。和其他社会工程学的网络攻击一样,它们都试图诱导用户去点击链接,最终把用户定向到含有黑洞攻击包的页面上。许多恶意邮件都仿冒用户信任的信息源(如著名公司或受害者的所在公司),并以紧急事件为由拖用户下水,比如用户的经济问题。
所幸的是,Websense的客户被高级分类引擎(ACE)所保护,并没有受到这些攻击的影响。
这些邮件中含有恶意链接将用户重定向到黑洞页面。安全专家将这些由新的乱码编写的页面破译后,发现植入其中的病毒并非新版的黑洞攻击包。但他们相信不用多久,类似的恶意电子邮件就会携新版病毒而来。Websense举出以下实例,希望广大用户小心这些陷阱。
陷阱一:ADP在薪资服务行业中大名鼎鼎,网络犯罪分子借着它的名号行骗也不是奇事。当用户收到一封来自ADP的税单提醒能不着急点开?何况邮件还标注着高优先级。(见图1)
图1:假冒的ADP税单提醒
陷阱二:“您有一份语音信息等待接收”,“双击链接即可收听”。邮件显示发信者是受害者的Exchange服务器,作为上班族的你会不加思索的点击鼠标吗?(见图2)
图2:假冒的Exchange服务器语音邮件提醒
陷阱三:“感谢您注册我们网站的高级服务”,“您已成功激活高级付费服务”。看到这封邮件你的第一反应是什么?是不是立即点开查看自己是不是不小心花冤枉钱?(见图3)
图3:捏造的高级付费服务确认信
陷阱四: “您的电汇业务因安全问题被暂停了,请下载升级新版的支付软件!”当你收到来自FDIC保险公司的警告邮件,你会迫不及待的“提升”自己电脑的安全等级吗?(见图4)
图4:假冒的警告与安全软件下载入口
用户一旦点击上述电邮中的超级链接,就会经一些列跳转,加载上含有黑洞攻击包的恶意页面,进而遭受犯罪分子的入侵。
Websense的安全专家们更关注前两个陷阱中的恶意URL,因为它们是动态生成的,而这正是新版黑洞攻击包的特性之一。