一、季度亮點(diǎn)

1.1 垃圾郵件中的個(gè)人數(shù)據(jù)

我們常說(shuō)，個(gè)人數(shù)據(jù)就是詐騙犯的棒棒糖，每個(gè)人都應(yīng)該保證個(gè)人數(shù)據(jù)的安全（就是說(shuō)，千萬(wàn)不要在可疑網(wǎng)站上提交個(gè)人數(shù)據(jù)）。如果犯罪分子得到了你的數(shù)據(jù)，他們就會(huì)用來(lái)訪(fǎng)問(wèn)你的個(gè)人賬戶(hù)，還會(huì)發(fā)起針對(duì)性攻擊和勒索軟件攻擊。

在第三季度，我們?cè)诶]件中發(fā)現(xiàn)了大量的詐騙郵件。我們?cè)诮衲瓿?a >報(bào)告過(guò)這種類(lèi)型的詐騙活動(dòng)：要挾受害人支付一筆贖金（以比特幣支付），否則就公開(kāi)與受害人有關(guān)的“損害性證據(jù)”。新一波攻擊浪潮中的詐騙郵件包含用戶(hù)的真實(shí)個(gè)人數(shù)據(jù)（姓名、密碼還有電話(huà)號(hào)碼），犯罪分子利用這些信息恐嚇受害者，讓他們相信自己手中握有真實(shí)的證據(jù)。該詐騙活動(dòng)分為數(shù)個(gè)階段，犯罪分子很可能是利用了多個(gè)個(gè)人信息數(shù)據(jù)庫(kù)。證據(jù)就是，在不同階段的詐騙活動(dòng)中受害者電話(huà)號(hào)碼的格式是不同的。

以前，攻擊目標(biāo)主要是英語(yǔ)用戶(hù)，但在9月份我們觀察到其它語(yǔ)言的一個(gè)大爆發(fā)，包括德語(yǔ)、意大利語(yǔ)、阿拉伯語(yǔ)，還有日語(yǔ)。

犯罪分子勒索的贖金從幾百美元到數(shù)千美元不等。不同的郵件中使用的付款地址（比特幣錢(qián)包地址）都不相同。在7月份，其中一個(gè)錢(qián)包收到了17筆交易，交易總額超過(guò)了3比特幣（以當(dāng)時(shí)的價(jià)格計(jì)算，約為1.8萬(wàn)美元）。

犯罪分子的比特幣錢(qián)包收到的交易

還是在第三季度，我們檢測(cè)到一個(gè)針對(duì)企業(yè)用戶(hù)的惡意垃圾郵件活動(dòng)。犯罪分子的主要目的是竊取密碼（例如瀏覽器密碼、即時(shí)消息應(yīng)用、電子郵件客戶(hù)端、FTP客戶(hù)端以及加密貨幣錢(qián)包的密碼等）。為了達(dá)到這一目的，犯罪分子將惡意軟件Loki Bot封裝成ISO文件，附加在郵件的附件中。這種釣魚(yú)郵件看起來(lái)類(lèi)似于商業(yè)信函或是來(lái)自于可信公司的通知函。

1.2 針對(duì)銀行業(yè)的惡意垃圾郵件攻擊

僵尸網(wǎng)絡(luò)Necurs曾被發(fā)現(xiàn)在第二季度分發(fā)攜帶惡意IQY（Microsoft Excel Web查詢(xún)）附件的垃圾郵件，但現(xiàn)在它已經(jīng)將興趣轉(zhuǎn)移至銀行業(yè)。同第二季度一樣，Necurs分發(fā)的垃圾郵件中包含另一種非典型的文件格式，這一次是PUB（Microsoft Publisher）格式。這些垃圾郵件被發(fā)送到不同國(guó)家的信貸機(jī)構(gòu)的郵件地址，其PUB附件中包含用于下載和執(zhí)行惡意軟件的木馬下載器（被檢測(cè)為Backdoor.Win32.RA-based）。

我們觀察到Necurs的所有者正越來(lái)越多地使用各種技術(shù)來(lái)繞過(guò)安全解決方案，并在惡意垃圾郵件中包含非典型擴(kuò)展名的附件，以免引起用戶(hù)的懷疑。

1.3 以新iPhone為主題

在第三季度末尾Apple發(fā)布了最新的產(chǎn)品。不出意料地，一波與之有關(guān)的垃圾郵件高潮也出現(xiàn)了。這些垃圾郵件偽裝成來(lái)自中國(guó)的“公司”，向用戶(hù)提供一些Apple的配件或小玩意兒。郵件中的鏈接通常指向一個(gè)新創(chuàng)建的在線(xiàn)商店。不用多說(shuō)，如果您在這種沒(méi)準(zhǔn)兒第二天就沒(méi)了的網(wǎng)站上購(gòu)物，那肯定是錢(qián)貨兩空。

伴隨著Apple發(fā)布會(huì)到來(lái)的，還有利用Apple（及其服務(wù)）的釣魚(yú)攻擊模式的增長(zhǎng)，以及攜帶惡意附件的垃圾郵件數(shù)量的增長(zhǎng)：

1.4 以違禁藥品為主題的傳統(tǒng)垃圾郵件的新偽裝

垃圾郵件發(fā)送者一直在鍥而不舍地尋找繞過(guò)郵件過(guò)濾措施和增加垃圾郵件“可交付性”的方法。為了達(dá)成這一目的，他們嘗試制作看起來(lái)像是來(lái)自于知名公司和服務(wù)的垃圾郵件（不僅是從內(nèi)容上，而且是從技術(shù)上）。例如，他們照搬了銀行等通知服務(wù)的郵件布局，并在顯眼的位置添加真實(shí)的標(biāo)題。

這種典型的釣魚(yú)技術(shù)越來(lái)越多地被用在“傳統(tǒng)的垃圾郵件”中 – 例如，在那些提供違禁藥品的垃圾郵件中。舉例而言，本季度我們?cè)鴻z測(cè)到偽裝成來(lái)自大型社交網(wǎng)絡(luò)（包括LinkedIn）的通知的垃圾郵件。我們本以為這些郵件中的虛假鏈接指向的是一個(gè)竊取個(gè)人數(shù)據(jù)的釣魚(yú)網(wǎng)站，結(jié)果它是一個(gè)網(wǎng)上藥店。

垃圾郵件發(fā)送者開(kāi)始使用這種新偽裝的原因是，它們傳統(tǒng)的垃圾郵件類(lèi)型在很早之前就會(huì)被反垃圾郵件系統(tǒng)給識(shí)別出來(lái)和過(guò)濾掉。我們預(yù)計(jì)這一趨勢(shì)還會(huì)繼續(xù)增強(qiáng)。

1.5 針對(duì)大學(xué)

隨著新學(xué)年的開(kāi)始，犯罪分子對(duì)獲得大學(xué)網(wǎng)站賬戶(hù)的訪(fǎng)問(wèn)權(quán)限的興趣有所增長(zhǎng)。我們觀察到針對(duì)16個(gè)國(guó)家的131所大學(xué)的攻擊活動(dòng)。犯罪分子不僅僅想要竊取個(gè)人數(shù)據(jù)，還瞄準(zhǔn)學(xué)術(shù)研究成果。

針對(duì)大學(xué)網(wǎng)站的釣魚(yú)登錄頁(yè)面

1.6 針對(duì)求職者

為了獲取個(gè)人數(shù)據(jù)，攻擊者還會(huì)利用求職者的努力。這些釣魚(yú)頁(yè)面上會(huì)提供誘人的工作職位，包括大公司的職位、高額的薪水等等，誘使受害者填寫(xiě)頁(yè)面上的工作申請(qǐng)表格。

1.7 傳播方法

本季度我們繼續(xù)關(guān)注犯罪分子用于分發(fā)網(wǎng)絡(luò)釣魚(yú)和其它非法內(nèi)容的方法。但這一次我們還想提請(qǐng)注意那些越來(lái)越受歡迎并且被犯罪分子積極利用的方法。

1.7.1 詐騙通知

有些瀏覽器可以讓網(wǎng)站向用戶(hù)發(fā)送通知（例如，Chrome中的Push API），這種技術(shù)被犯罪分子注意到了。這種技術(shù)主要是被那些擁有許多第三方網(wǎng)絡(luò)合作伙伴的網(wǎng)站開(kāi)發(fā)的。借助這種彈出式的通知，用戶(hù)們就會(huì)被引誘至“小伙伴”的網(wǎng)站，在那里他們被提示輸入一些，比如說(shuō)，個(gè)人信息。每引誘一個(gè)用戶(hù)，這些網(wǎng)站的所有者就會(huì)得到一個(gè)分成獎(jiǎng)勵(lì)。

默認(rèn)情況下，Chrome要求每一個(gè)單獨(dú)的網(wǎng)站在彈出通知時(shí)都需要申請(qǐng)權(quán)限，而攻擊者為了促使用戶(hù)授予這些權(quán)限，會(huì)聲稱(chēng)如果不點(diǎn)擊允許按鈕，頁(yè)面就無(wú)法繼續(xù)加載。

許多用戶(hù)在授予網(wǎng)站允許彈出通知的權(quán)限后就簡(jiǎn)單地忘記了這件事。所以當(dāng)一個(gè)消息彈出在屏幕上時(shí)，他們往往不知道它是從哪兒來(lái)的。

通知往往根據(jù)用戶(hù)的地理位置進(jìn)行量身定制，并以適當(dāng)?shù)恼Z(yǔ)言顯示

危險(xiǎn)在于，這些通知可能在用戶(hù)訪(fǎng)問(wèn)可信資源時(shí)彈出。這會(huì)誤導(dǎo)受害者信任通知消息的來(lái)源：怎么看這個(gè)通知都是來(lái)自于當(dāng)前打開(kāi)的可信資源。舉例而言，用戶(hù)可能會(huì)看到關(guān)于轉(zhuǎn)賬信息、有獎(jiǎng)問(wèn)答或是小贈(zèng)品的“通知”，而它們通常都會(huì)跳轉(zhuǎn)到釣魚(yú)網(wǎng)站、在線(xiàn)賭場(chǎng)或是虛假贈(zèng)品及付費(fèi)訂閱的網(wǎng)站。

當(dāng)用戶(hù)點(diǎn)擊通知時(shí)打開(kāi)的網(wǎng)站示例

我們?cè)诒炯径瘸踉?a >報(bào)告過(guò)一個(gè)通過(guò)點(diǎn)擊通知跳轉(zhuǎn)到在線(xiàn)禮品卡生成器的釣魚(yú)活動(dòng)（該釣魚(yú)活動(dòng)還可以反向運(yùn)作：通過(guò)在線(xiàn)資源提示用戶(hù)啟用消息推送通知）。這種生成器聲稱(chēng)可以為用戶(hù)提供各大流行電商的免費(fèi)禮品卡。然而，為了獲得這些免費(fèi)禮品卡，用戶(hù)必須要通過(guò)特殊的鏈接驗(yàn)證他不是機(jī)器人。隨之，用戶(hù)就被重定向至許許多多的第三方合作網(wǎng)站，要么是要求參與有獎(jiǎng)問(wèn)答，要么是填寫(xiě)調(diào)查問(wèn)卷，或者是下載資料，注冊(cè)付費(fèi)短信服務(wù)等等。

1.7.2 新聞媒體

利用媒體資源來(lái)分發(fā)欺詐內(nèi)容并不常見(jiàn)，但非常有效。流行加密貨幣交易所WEX遭遇到的故事就是一個(gè)力證。WEX在2017年之前的名字是BTC-E。在2018年8月份，一些虛假的新聞被插入到了俄羅斯媒體“third tier”的專(zhuān)題報(bào)道中，新聞中稱(chēng)由于內(nèi)部問(wèn)題，該交易所正在將域名更改為wex.ac:

wex.nz的管理部門(mén)很快發(fā)推表示（其推文發(fā)布在該交易所的主頁(yè)上），wex.ac只是一個(gè)模仿者，并警告用戶(hù)不要轉(zhuǎn)移資金。

但這并沒(méi)能阻止詐騙者，他們又發(fā)布了更多虛假新聞，稱(chēng)該交易所現(xiàn)在遷移到一個(gè)新的域名：wex.sc。

1.7.3 社交網(wǎng)絡(luò)（Instagram）

在詐騙者用于分發(fā)欺詐內(nèi)容的眾多社交媒體平臺(tái)中，Instagram尤其值得一提。犯罪分子直到最近才開(kāi)始注意到這個(gè)平臺(tái)。在2018年Q3，我們?cè)谠撈脚_(tái)上發(fā)現(xiàn)了多個(gè)假冒的美國(guó)國(guó)稅局（IRS）賬號(hào)，還有許多假裝成巴西銀行官方賬號(hào)的騙子。

Instagram上的假冒IRS賬號(hào)

詐騙者們不僅自己創(chuàng)建假冒賬號(hào)，還試圖盜取名人的賬號(hào)：在今年八月份，我們觀察到一波Instagram賬戶(hù)劫持的高潮。由于一種“賬戶(hù)認(rèn)證”的釣魚(yú)攻擊，許多賬戶(hù)更換了他們的主人– 詐騙者偽裝成Instagram幫助中心的網(wǎng)站，幫助用戶(hù)申請(qǐng)賬戶(hù)認(rèn)證徽章（就是那個(gè)珍貴的藍(lán)色小勾勾），但要求用戶(hù)提供登錄憑據(jù)等信息。

當(dāng)時(shí)Instagram還沒(méi)有完善它們的賬戶(hù)認(rèn)證功能：由管理員來(lái)決定誰(shuí)來(lái)獲得這枚神圣的“徽章”?，F(xiàn)在這枚徽章可以直接在賬戶(hù)設(shè)置中進(jìn)行申請(qǐng)了。

二、季度統(tǒng)計(jì)：垃圾郵件

2.1 垃圾郵件占全球電子郵件流量中的比例

2018年Q2及Q3，垃圾郵件占全球電子郵件流量中的比例

2018年第三季度垃圾郵件占比的峰值出現(xiàn)在8月份（53.54%）。在全球電子郵件流量中垃圾郵件的平均占比為52.54%，比上一季度增長(zhǎng)了2.88個(gè)百分點(diǎn)。

2.2 垃圾郵件來(lái)源國(guó)家的分布

2018年Q3，垃圾郵件來(lái)源國(guó)家的分布

2018年第三季度垃圾郵件來(lái)源國(guó)家的前三名和第二季度一樣：中國(guó)排第一（13.47%），美國(guó)排第二（10.89%），德國(guó)排第三（10.37%）。巴西排第四（6.33%），越南排第五（4.41%）。阿根廷（2.64％）是第十。

2.3 垃圾郵件的大小分布

2018年Q2及Q3，垃圾郵件的大小分布

在2018年第三季度，垃圾郵件中超小型郵件（最多2KB）的份額下降了5.81個(gè)百分點(diǎn)，為73.36%。5-10KB之間的垃圾郵件與第二季度相比略有增長(zhǎng)（+0.76個(gè)百分點(diǎn)），達(dá)6.32%。10-20KB之間的垃圾郵件同樣也下降了1.21個(gè)百分點(diǎn)，為2.47%。而20-50KB之間的垃圾郵件份額基本保持不變，僅上升了0.49個(gè)百分點(diǎn)，至3.17%。

2.4 惡意附件：惡意軟件家族的分布

2018年Q3，垃圾郵件中惡意軟件家族的前十名

根據(jù)2018年第三季度的統(tǒng)計(jì)數(shù)據(jù)，惡意流量中最常見(jiàn)的惡意軟件仍然是Exploit.Win32.CVE-2017-11882，其份額與上一季度相比增長(zhǎng)了0.76個(gè)百分點(diǎn)，達(dá)11.11%。Backdoor.Win32.Androm同樣有所增長(zhǎng)，現(xiàn)在排名第二（7.85%）。Trojan-PSW.Win32.Farei則掉到第三名（5.77%）。第四和第五名分別花落Worm.Win32.WBVB和Backdoor.Java.QRat。

2.5 垃圾郵件目標(biāo)國(guó)家的分布

2018年Q3，垃圾郵件目標(biāo)國(guó)家的分布

第三季度郵件反病毒系統(tǒng)阻止的威脅中排名前三的國(guó)家自年初以來(lái)未曾發(fā)生變化：德國(guó)排第一（9.83%），俄羅斯排第二（6.61%），英國(guó)排第三（6.41%）。后面是意大利（第四，5.76%）和越南（第五，5.53%）。

三、季度統(tǒng)計(jì)：網(wǎng)絡(luò)釣魚(yú)

在2018年第三季度，卡巴斯基的反釣魚(yú)系統(tǒng)共阻止了137,382,124次將用戶(hù)重定向至詐騙網(wǎng)站的嘗試。全球范圍內(nèi)共有12.1%的卡巴斯基用戶(hù)遭到攻擊。

3.1 攻擊地理

2018年第三季度遭到釣魚(yú)攻擊的用戶(hù)比例最高的國(guó)家是危地馬拉（比上一季度增長(zhǎng)了8.56個(gè)百分點(diǎn)，達(dá)18.97％）。

2018年Q3，釣魚(yú)攻擊的地理分布

第二季度的冠軍巴西掉到了第二名，本季度該國(guó)家遭到釣魚(yú)攻擊的用戶(hù)比例是18.62%（實(shí)際上比第二季度還增長(zhǎng)了3.11個(gè)百分點(diǎn)）。第三和第四分別是西班牙（17.51％）和委內(nèi)瑞拉（16.75％）。葡萄牙排在第五（16.01%）。

國(guó)家	%*
危地馬拉	18.97
巴西	18.62
西班牙	17.51
委內(nèi)瑞拉	16.75
葡萄牙	16.01
中國(guó)	15.99
澳大利亞	15.65
巴拿馬	15.33
格魯吉亞	15.10
厄瓜多爾	15.03

*該國(guó)家所有卡巴斯基用戶(hù)中反釣魚(yú)系統(tǒng)被觸發(fā)的比例

3.2 攻擊目標(biāo)（企業(yè)的類(lèi)別分布）

遭到釣魚(yú)攻擊的目標(biāo)企業(yè)的類(lèi)別分布是根據(jù)用戶(hù)計(jì)算機(jī)上的反釣魚(yú)系統(tǒng)的觸發(fā)次數(shù)來(lái)統(tǒng)計(jì)的。每當(dāng)用戶(hù)嘗試打開(kāi)一個(gè)釣魚(yú)頁(yè)面時(shí)（可能是點(diǎn)擊了郵件中的鏈接，或者是點(diǎn)擊了社交媒體聊天消息中的鏈接，也可能是惡意軟件活動(dòng)的結(jié)果），反釣魚(yú)系統(tǒng)就會(huì)被激活。然后瀏覽器就會(huì)顯示一個(gè)禁止訪(fǎng)問(wèn)的頁(yè)面，警告用戶(hù)潛在的威脅。

與上一季度一樣，“全球互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站”類(lèi)別的企業(yè)排在攻擊目標(biāo)榜的第一位，其份額為32.27%（增長(zhǎng)了7.27個(gè)百分點(diǎn)）。

2018年Q3，遭到釣魚(yú)攻擊的企業(yè)類(lèi)別分布

如果粗略地劃分出一個(gè)“金融”類(lèi)別，那么唯有這一類(lèi)別的企業(yè)遭受的釣魚(yú)攻擊比全球互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站類(lèi)別要多。這個(gè)臨時(shí)的類(lèi)別占了所有釣魚(yú)攻擊的34.67%（下降了1.03個(gè)百分點(diǎn)）：其子類(lèi)別銀行和支付系統(tǒng)分別占18.26%和9.85%（第二和第三）；只有子類(lèi)別在線(xiàn)商店（6.56%）略輸給IT公司（6.91%），將第四名拱手相讓。

四、結(jié)論

在2018年第三季度，垃圾郵件平均占全球電子郵件總流量的52.54%，比上一季度增長(zhǎng)了2.88個(gè)百分點(diǎn)。卡巴斯基的反釣魚(yú)系統(tǒng)共阻止了超過(guò)1.37億次將用戶(hù)重定向至釣魚(yú)網(wǎng)站的嘗試，比上一季度增長(zhǎng)了3000萬(wàn)次。

垃圾郵件發(fā)送者和釣魚(yú)攻擊者繼續(xù)利用重大的新聞報(bào)道，本季度中的例子是新iPhone的發(fā)布。同時(shí)，犯罪分子也還在繼續(xù)尋找用于分發(fā)欺詐內(nèi)容的其它渠道。除了Instagram惡意活動(dòng)的一個(gè)高峰之外，我們還發(fā)現(xiàn)了從網(wǎng)站彈出虛假通知以及利用媒體資源散播虛假新聞的惡意活動(dòng)。

還應(yīng)該提及的是利用受害者的真實(shí)個(gè)人數(shù)據(jù)進(jìn)行敲詐勒索的垃圾郵件活動(dòng)擴(kuò)大了它的攻擊范圍。