赛门铁克于今日公布了2009年1月份垃圾邮件现状报告。
月度垃圾邮件状况
人们通常习惯在新年到来之际尝试为自己的工作、生活做出新的改变。然而,当2009年到来之际,垃圾邮件发送者还没却从未决定放弃垃圾邮件之战。最近的垃圾邮件数量统计表明,垃圾邮件已经悄然恢复到此前80%的平均水平。在过去的一段时间里,动荡的经济形势、美国新任总统奥巴马以及新年网络贺卡均为垃圾邮件发送者最青睐的主题。此外,本期报告还详解了网页仿冒垃圾邮件的演变,并揭示其诈取受害人信息的真面目。
2009年1月垃圾邮件现状报告主要内容包括:
美国新总统奥巴马成为垃圾邮件制造者的新目标
垃圾邮发送者不放弃利用经济衰退发动攻击
12月垃圾邮件数量持续增加,McColo被关闭的影响渐微
来自垃圾邮件制造者的信息
垃圾邮件发送者继续搭载合法的电子通讯发送垃圾邮件
网址垃圾邮件–特别调查
网页仿冒随着网络邮件仿冒的现身继续演变
新年出现新一轮欺诈性攻击
2008假日垃圾邮件回顾
垃圾邮件发送者扩大产品范围,兜售违禁药物
定义:
全球互联网邮件网关垃圾邮件比例(Worldwide Internet Mail Gateway Spam Percentage)是指在扫描电子邮件网关时,被分类操作列为垃圾邮件的电子邮件占总量的比例。这一比例代表了简单邮件传输协议层的过滤,并且不包括在网络层所检测到的电子邮件数量。
全球垃圾邮件分类:
垃圾邮件分类数据来源于赛门铁克探测网络(Symantec Probe Network)的信息分类搜集库。
垃圾邮件来源地区
来源地区指过去30天内来自特定国家和地区的垃圾邮件比例。
美国新总统奥巴马成为垃圾邮件制造者的新目标
垃圾邮件发送者们以各种方式对准了奥巴马,包括最近的欧洲之行,奥巴马总统纪念币,甚至一台可以和总统选举挂上钩的DVD。随着奥巴马声名大振,他的名字和一举一动都经常被垃圾邮件发送者用来传播恶意邮件。
垃圾邮件发送者利用经济衰退发动攻击
随着经济衰退继续影响整个世界,垃圾邮件发送者利用这种状况向用户发送垃圾邮件也就不足为奇了。几则最近的与经济相关的主题包括:
主题:政府将于最近一个月出台救助方案
主题:经济衰退中的债务解决方案
主题:电视报道:衰退带来的赚钱商机
主题:衰退带来的赚钱商机
主题:利用恶化的经济形势赚钱
主题:新工作在等着你
主题:经济危机下的生存之道:每周大赚500美元以上
主题:新工作在等着你(周薪不低于500美元)
让人感兴趣之处在于,这些攻击与垃圾邮件发送者利用经济形势的方式不同。这些攻击伪造在家工作计划,并附带调查性垃圾邮件,二者都以获取终端用户的个人信息为目的。与经济衰退相关的经济类垃圾邮件见诸于各种语言,包括中文。
我们深信垃圾邮件发送者会一直利用动荡的经济形式,诱惑那些容易动心的人们落入他们的恶意陷阱。
12月垃圾邮件数量持续增加,McColo被关闭的影响渐微
据报道,McColo散布的垃圾邮件曾占全球互联网垃圾邮件的半数,该组织被关闭后,垃圾邮件数量的确大幅减少。然而,自11月中旬以来,随着原有的僵尸网络再次出现以及新的僵尸网络的诞生,垃圾邮件的数量已缓慢回升并逐渐恢复到McColo关闭前80%的水平(日平均量):
来自垃圾邮件制造者的信息
据赛门铁克监测,到11月底,垃圾邮件数量曾出现几次增长高峰期,赛门铁克对高峰期包含的垃圾邮件进行检测,发现其中一部分垃圾邮件信息是"加拿大药店"。该垃圾邮件使用超文本标记语言格式的信息,并在网址中使用一组不同的域名。在高峰期,包含文本和超文本标记语言内容类型多用途国际邮件扩展部分的垃圾邮件占总量的55%。在McColo关闭之前,含有文本和超文本标记语言内容类型多用途国际邮件扩展部分的垃圾邮件占总量的55%以上。关闭后,该比例平均约为34%。这些垃圾邮件网址里包含数百个使用中国顶级域名.cn的域名。所有域名服务器或者和域名共享一个IP地址,或者使用位于中国境内的其他IP地址。
在第二种情况,用户被邀请加入社交网站上的一个群组。在这种情况下,电子邮件链接到垃圾邮件发送者在社交网站上创建的真实群组。然后,这个群组链接到一个免费的博客网站。该博客网站充当中转站点,将终端用户重定向到最终的目的网址。目前,观测的许多垃圾邮件均使用同一个社交网站群组。这可能是因为垃圾邮件发送者以此进行尝试,也可能是因为建立多个群组需要多个账号,相当费时。
一旦用户链接到目的网址,会被要求填写一张个人信息表。这些信息可能被出售给营销公司,也可能用于将来发送垃圾邮件。
赛门铁克建议用户不要轻易接受任何陌生社交网站的邀请。
垃圾邮件发送者搭载合法电子通讯发送垃圾邮件
2008年12月,试图利用合法的电子邮件通讯的垃圾邮件攻击数量增加。这种攻击手段是,垃圾邮件发送者试图在现有的合法电子通讯和广告的模板中插入垃圾邮件图片。这种手段的设计初衷是通过利用邮件中绝大多数看似合法的数据来回避各种垃圾邮件拦截技术。这是垃圾邮件发送者借合法邮件发送者之名发送垃圾邮件的又一个例子。
下面这个例子中,Food Network品牌邮件本身包含了一个推销各种药品的垃圾邮件广告。如果用户点击垃圾邮件中的任何一个链接,都会进入一个由垃圾邮件发送者操控的网站,该网站用于推销某些药品。
网页仿冒垃圾邮件–特别调查
国际互联网域名与地址分配机构(ICANN)规定,所有域名都必须与一家注册管理机构相连,所有域名申请必须通过一家注册管理机构提交。现在,注册的网站有数十万个。注册流程简单,注册成本也不太高。
垃圾邮件发送者可以轻易地注册域名,而且注册管理机构难于区分垃圾邮件发送者和合法组织及网站开发机构。垃圾邮件发送者在垃圾邮件中经常轮换使用域名,认为这一策略能够回避依靠模式匹配阻止垃圾邮件的过滤软件。一般而言,目前近90%的垃圾邮件均含有某类网址。
顶级域名(TLD)位于所有域名最后一个点之后,是整个域名的一部分。例如,在www.symantec.com域名中,顶级域名是com。国家代码顶级域名(ccTLD)是一个国家或独立区域普遍预留或使用的顶级域名。赛门铁克公司最近的分析表明,在最近一周的垃圾邮件中,68%的垃圾邮件的网址顶级域名为com,18%的国家代码顶级域名为cn,即中国的顶级域名,5%的顶级域名为net。俄罗斯的国家代码顶级域名为ru,德国的国家代码顶级域名为de。垃圾邮件发送者们经常轮换使用顶级域名,以回避防垃圾邮件过滤器。
目录常被用来排列或显示某些文件。赛门铁克发现尽管71%的垃圾邮件网址没有目录,但2.4%的网址包含6个以上的目录。垃圾邮件发送者们经常使用多个目录,力图使创造的网址看上去像合法网址,这一点与子域名类似。
网页仿冒随着网络邮件的出现继续演变
关于网络邮件仿冒的报告最早是在2008年初,但是最近迅猛增加。该轮攻击的主要目标是获取网络邮件证书,如密码和联系人名单的电子邮件地址。网络邮件仿冒者已经采用多种不同的方案,以试图确保收集该信息。这些方案包括:
方案1:
"我们来信通知您,鉴于所有电子邮件帐户发生拥塞,我们将采取一些临时性的维护服务,但是担心客户的电子邮件帐户会在这个过程中失效。为了避免您的电子邮件帐户失效,并使您的邮件记录继续留在我们的数据库中,建议您向我们提供如下信息。否则,由于安全原因,您的电子邮件帐户将在48个小时内暂停使用。"
方案2:
"由于电子邮件用户抱怨我们的(名称略)网络邮件系统中出现垃圾邮件,我们进行了调查。调查显示,您的电子邮件地址受到牵连,该地址在我们的(名称略)网络邮件系统中发送垃圾邮件。因此,如果您不在24小时内将要求的信息发送给我们,您的用户名将失效。"
和其他的网页仿冒信息一样,这些都是经过精心策划的,看起来就像出自于特定的合法组织一样。然后,该组织的成员就会成为垃圾邮件攻击的目标。网络邮件仿冒的一个常见特征是,邮件仅以文本方式发送。和传统网络仿冒信息不同的是,该信息不包含虚假的URL链接。收件人在回复时只需使用"回复"标题中的地址或者邮件正文中的邮件地址。
显然,只要有利可图,仿冒邮件的发送者就会不断改进他们的手段,以欺骗个人和机构。
新年出现新一轮欺诈性攻击
2009年才过去一天多,某个垃圾邮件发送者就决定发动新一轮欺诈性攻击。垃圾邮件发送者自称为一家颇负盛名的银行机构,向人们发送带有陷阱的新年贺卡。邮件中包含一个用于查看其他信息的链接。当收件人点击网址链接时,就会被要求输入"下框中提示的个人ID或16位卡号(非信用卡号)以及后面的通行码和注册号",以接收关于银行欺诈的紧急告警。
2008假日垃圾邮件回顾
要把人们聚集到一起,聚会是最好的形式。放假期间的垃圾邮件同样如此。商家利用假日大肆兜售成人用品、休闲娱乐用品、金融理财产品及医疗产品。419个垃圾邮件发送者也同样以发动新的垃圾邮件攻击来庆祝节日。放假期间垃圾邮件攻击使用的语言并不限于英语,还包括非英语类垃圾邮件,如主题为Cadeaux sexy pour Noel的垃圾邮件。其他包括:
主题:2009新型号推出
主题:圣诞安全网上购物从这里开始
主题:好工作任你选!!!假期联系人:
主题:英国圣诞彩票大奖等你拿
主题:网上圣诞公告
主题:假日贺卡!无需注册!完全免费!
主题:让佛蒙特玩具熊为你传递温馨的节日问候
垃圾邮件发送者扩大产品范围,兜售违禁药物
以健康为主题的垃圾邮件约占全部垃圾邮件的11%。此类垃圾邮件通常包含能够在药店合法购买的药物。另一种以药物为主题的电子邮件的出现有点令人惊讶。该邮件出现于2008年12月,一般会引起执法机构的注意。这类垃圾邮件的主题包括:"摇头丸(家庭聚会首选,与好友分享)"。如果收件人对他们提供的东西感兴趣,文本信息就会引导收件人通过电子邮件答复其中一个免费网络邮件帐户。