赛门铁克发布09年6月垃圾邮件现状报告

月度垃圾邮件热点综述:

McColo 关闭几乎已成为一个遥远的记忆,而 2009 年 5 月,垃圾邮件约占全部邮件的 90%–与一年前,即 2008 年5 月,监测到的水平一致。旧的僵尸网络重返线上,而新的僵尸网络又已萌生。欧洲、中东及非洲 (EMEA) 地区仍为僵尸计算机的主要来源,而巴西以 16% 的比率继续位于活跃僵尸计算机数量来源国首位。

在近期的垃圾邮件报告中,我们看到垃圾邮件制造者们正密切关注着全球经济形势的热点及其走向,随着近期美国三大汽车制造商面临财务问题甚至申请破产保护的新闻传出,垃圾邮件制造者们又看到了新的机会。赛门铁克本期监测到一些声称来自某汽车公司的垃圾邮件,文中提到由于经济衰退导致销售下降,公司准备降价抛售汽车,但条件是收件人必须填写附件中的申请表格。"司马昭之心,路人皆知",这些垃圾邮件的最终目的当然是诈取收件人的个人信息,并从中谋取经济利益。

本月垃圾邮件报告的主要内容包括:

•垃圾邮件制造者声称重振汽车企业

•Twitter 被用作诱饵钓取个人信息

•垃圾邮件文凭制造厂的新生意

•治愈糖尿病,但别指望垃圾邮件制造者的帮助

•本月全球僵尸主机 IP 活动情况

•当前垃圾邮件的主要特点和近期变化趋势

2008年5月 – 2009年5月全球垃圾邮件数量走势图

垃圾邮件比例:除简单邮件传输协议 (SMTP) 层过滤外,目前用来计算垃圾邮件比例的模型还将网络层阻截因素纳入考虑范围,因此可以更准确地分析互联网上垃圾邮件的实际比例。

月度热点事件分析

垃圾邮件制造者声称重振汽车企业

当某些汽车制造商面临财务问题及破产保护的困境,垃圾邮件散播者却从中看到了机会,利用这些不幸事件诈取收件人的个人信息。这些宣称来自某汽车公司的垃圾邮件提到由于经济衰退导致销售下降,并详细介绍美国政府如何计划以助其渡过危机。但是,由于所谓的救助资金尚未到位,垃圾邮件称正按照原价的 35% 折价出售 1000 辆汽车。它们还表示,此番销售将帮助公司东山再起,扩大客户群。垃圾邮件指示收件人填写并提交附件中的表格,享受这份优惠。并在发出的邮件中谎称,公司代表将在收到表格后五个工作日内拜访收件人。

下图所示为一个附件。注意,尽管这个附件看上去是 PDF格式,但实际上却是一个 html 文件,其背景图像中沿着页面顶部和左侧都包含有Widgets。

垃圾邮件散播者正利用经济衰退这一背景不断想出新花样,试图欺骗用户提交信息,而这些信息将来可能会遭到滥用。

Twitter 被用作诱饵钓取个人信息

垃圾邮件散播者习惯利用消费者已知品牌的声望为自己谋取利益。由于越来越多的人喜欢使用社交网站,因此这些网站赢得的信任和声望为垃圾邮件散播者所滥用便不足为奇。在过去一个月中,垃圾邮件攻击活动利用 Twitter 这个发展迅速的社交网络品牌发动了两次垃圾邮件攻势:"迅速致富"和"约会垃圾邮件"。

在 "迅速致富"类攻击中垃圾邮件制造者提供了"无风险 Twitter 利润软件"套装。这种邮件的收件人将被导向一份网络表格,表格中要求填写包括姓名、电子邮件地址和邮寄地址在内的个人信息。随后会出现另一份表格,要求填写您的信用卡号、到期日以及安全码。

下方是 Twitter 中"迅速致富"类垃圾邮件中用到的一些标题:

主题: Twitter 权威全揭秘视频

主题: 利用 Twitter 赚钱

主题: 一边网上玩游戏,一边赚钱。

在第二类与 Twitter 有关的垃圾邮件攻击中,Twitter 约会网站 Datetwit 成为攻击的目标。链接中使用了众多最近注册的垃圾邮件域名,引导用户输入 Twitter 证明信息打开约会网站。为躲避反垃圾邮件过滤器的侦测,电子邮件信息也混有一些合法内容。

借助这些攻击,垃圾邮件散播者希望能够躲在越来越受欢迎的 Twitter 社交网络品牌后诱使收件人采取行动。

垃圾邮件文凭制造厂的新生意

2009 年 4 月,美国大约减少了 539,000 个工作岗位。尽管每月工作岗位减少的趋势略微放缓,但同月失业率已攀升至 8.9。由于就业市场存在诸多困难,很多专业人士及学生为增加简历的分量都希望多获得一些资格证书。虽然文凭垃圾邮件并非新生事物,但所提供的课程数量和种类近几周内有所增加。特别是,我们监测到围绕刑事司法和司法科学提供的学位出现增长趋势,这也许是由于以刑事调查以及司法科学为主的电视节目普遍受到欢迎的结果。

按摩师网络课程最近也成为垃圾邮件散播者的最爱。他们提供的课程总会在初期申请阶段例行公事地索取与财务状况有关的信息,而正规的网上大学通常是将候选人引荐给一位顾问或导师,而后者会指导前者完成申请流程。

治愈糖尿病,但别指望垃圾邮件制造者的帮助

根据世界卫生组织 (WHO) 的数据,"全球至少有 1.71 亿人患有糖尿病,到 2030 年这一数字有可能翻一番还多。"糖尿病是一种慢性病,这意味着患者始终需要使用各种药物产品来控制血糖水平。WHO 报告指出,总体来讲,糖尿病患者的直接治疗成本要占每年医疗预算的 2.5% 至 15%。

比起实体药店,网上药物供应商通常会提供折扣或优惠,包括为下订单的访客提供免费血糖仪。而近期赛门铁克监测到的垃圾邮件信息中,垃圾邮件散播者打着合法药物提供商的品牌旗号试图获取个人信息。这些垃圾邮件散播者会在邮件主题或发件人一栏提供合法品牌的名称。提交信息后,收件人会得到通知,接下来五分钟将有人与他们联系。

垃圾邮件散播者收集这些信息往往是为自己谋利,所提交的个人电子邮件地址往往被其利用或出售,用于将来的垃圾邮件攻击活动。赛门铁克提醒用户,订购商品时只需将合法的 URL 直接键入浏览器,而不是点击邮件提供的链接,就可避免危及个人资料的安全。

此类垃圾邮件攻击经常使用的主题如下:

1.免费获得[某供应商]提供的[某品牌]血糖仪

2.控制糖尿病 – 免费获得[供应商名称已删除]提供的血糖仪

3.用[某供应商]提供的免费血糖仪自测血糖

4.免费血糖仪正在恭候着您

5.控制糖尿病 – 来自[某供应商]的免费血糖仪

本月全球僵尸主机 IP 活动趋势

"僵尸电脑"一词指的是已遭病毒侵入并受到其控制用于实现各种与犯罪有关的目的的计算机,所从事的活动包括发送垃圾邮件、作为垃圾邮件广告网站的主机以及作为僵尸主机的 DNS 服务器。下表比较了 2009 年 5 月拥有活跃僵尸计算机的前十名国家,结果已在 2009 年 5 月的垃圾邮件现状报告中公布:表中显示,巴西仍然是活跃僵尸电脑的第一来源国。而土耳其和俄罗斯本月则分别以 8% 和 9% 互换了位置。

当前垃圾邮件的主要特点和近期变化趋势

2009 年 5 月,垃圾邮件水平已攀升至占全部邮件的近 90%,与 2008 年 5 月监测到的水平持平。此外5月监测到的一些突出的趋势还包括:

图像垃圾邮件作为一股力量卷土重来,过去三十天内图像垃圾邮件占到所有垃圾邮件的 6.5%。在此期间,此类邮件在一周内增至占所有邮件的 21.9%。图像垃圾邮件卷土重来的后果就是垃圾邮件的平均大小有所增加,24.14% 的邮件大小为 2kb-5kb,14% 的邮件大小超过了 10kb。如果考虑到 2009 年 1 月大于 10kb 的邮件还不足 3%,那么这一增长实属明显。邮件大小的增加会对邮件基础设施造成压力,并有可能使终端客户无法收到正常的邮件。

对自 2008 年末以来的垃圾邮件大小进行的历史回顾清楚表明邮件大小显著增加。在显示图像垃圾邮件增长情况的图表上做标示时可以清楚看到图像垃圾邮件是带来邮件大小峰值极为重要的原因。

在图像垃圾邮件增加的同时,在邮件正文部分包含 URL 的垃圾信息仍然是垃圾邮件的主要趋势。过去三十天内,所有垃圾邮件中有 91.7% 的都含有 URL。这些 URL 往往与允许客户建立免费账户的网址有关联。这些免费账户含有免费的网页寄存账户和垃圾邮件散播者注册并操控的 URL。这些 URL 被用来推销某些产品及服务,而垃圾邮件散播者常常交替变换用于发动垃圾邮件攻击的 URL,以避开反垃圾邮件软件的侦测。

在2009 年 5 月所监测到的 URL 中, 52% 有 com 顶级域名 (TLD)、32% 有 cn ccTLD。带 com TLD 的 URL 数量减少了 12%,而带 cn ccTLD 的 URL 数量增加了 12 %。这一明显的转换是垃圾邮件散播者采用的垃圾邮件策略,他们在不同的 TLD 之间来回转换,力图逃过反垃圾邮件过滤器的侦测。

总而言之,垃圾邮件仍在试图推销各类产品和服务,从药物(健康类目前比例为 24 %),互联网(27%)以及 419 类垃圾邮件(5%)等过去的老伎俩到室内设计学校课程以及"Barbara Walters 独家秘方–抗衰老奇迹等最新的垃圾信息无所不包。显然,只要有收件人点击 URL,好奇地观察或按照内容指示购买所谓的产品和服务,垃圾邮件散播者就会继续发送这些虚假信息。

本月数据分析参考

图一:垃圾邮件来源地区

来源地区指过去30天内来自特定国家和地区的垃圾邮件比例以及近期变化情况。

图二:垃圾邮件来源地区变化

图三:全球垃圾邮件类型分类:

垃圾邮件分类数据来源于赛门铁克探测网络(Symantec Probe Network)的信息分类搜集库。

图四:垃圾邮件大小变化:

图五:URL域名与垃圾邮件关联度分析:

图六:2009年4月URL-TLD域名来源比例: