一、季度亮點(diǎn)

1.1 垃圾郵件中的個(gè)人數(shù)據(jù)

我們常說，個(gè)人數(shù)據(jù)就是詐騙犯的棒棒糖，每個(gè)人都應(yīng)該保證個(gè)人數(shù)據(jù)的安全（就是說，千萬不要在可疑網(wǎng)站上提交個(gè)人數(shù)據(jù)）。如果犯罪分子得到了你的數(shù)據(jù)，他們就會(huì)用來訪問你的個(gè)人賬戶，還會(huì)發(fā)起針對(duì)性攻擊和勒索軟件攻擊。

在第三季度，我們?cè)诶]件中發(fā)現(xiàn)了大量的詐騙郵件。我們?cè)诮衲瓿?a >報(bào)告過這種類型的詐騙活動(dòng)：要挾受害人支付一筆贖金（以比特幣支付），否則就公開與受害人有關(guān)的“損害性證據(jù)”。新一波攻擊浪潮中的詐騙郵件包含用戶的真實(shí)個(gè)人數(shù)據(jù)（姓名、密碼還有電話號(hào)碼），犯罪分子利用這些信息恐嚇受害者，讓他們相信自己手中握有真實(shí)的證據(jù)。該詐騙活動(dòng)分為數(shù)個(gè)階段，犯罪分子很可能是利用了多個(gè)個(gè)人信息數(shù)據(jù)庫。證據(jù)就是，在不同階段的詐騙活動(dòng)中受害者電話號(hào)碼的格式是不同的。

以前，攻擊目標(biāo)主要是英語用戶，但在9月份我們觀察到其它語言的一個(gè)大爆發(fā)，包括德語、意大利語、阿拉伯語，還有日語。

犯罪分子勒索的贖金從幾百美元到數(shù)千美元不等。不同的郵件中使用的付款地址（比特幣錢包地址）都不相同。在7月份，其中一個(gè)錢包收到了17筆交易，交易總額超過了3比特幣（以當(dāng)時(shí)的價(jià)格計(jì)算，約為1.8萬美元）。

犯罪分子的比特幣錢包收到的交易

還是在第三季度，我們檢測到一個(gè)針對(duì)企業(yè)用戶的惡意垃圾郵件活動(dòng)。犯罪分子的主要目的是竊取密碼（例如瀏覽器密碼、即時(shí)消息應(yīng)用、電子郵件客戶端、FTP客戶端以及加密貨幣錢包的密碼等）。為了達(dá)到這一目的，犯罪分子將惡意軟件Loki Bot封裝成ISO文件，附加在郵件的附件中。這種釣魚郵件看起來類似于商業(yè)信函或是來自于可信公司的通知函。

1.2 針對(duì)銀行業(yè)的惡意垃圾郵件攻擊

僵尸網(wǎng)絡(luò)Necurs曾被發(fā)現(xiàn)在第二季度分發(fā)攜帶惡意IQY（Microsoft Excel Web查詢）附件的垃圾郵件，但現(xiàn)在它已經(jīng)將興趣轉(zhuǎn)移至銀行業(yè)。同第二季度一樣，Necurs分發(fā)的垃圾郵件中包含另一種非典型的文件格式，這一次是PUB（Microsoft Publisher）格式。這些垃圾郵件被發(fā)送到不同國家的信貸機(jī)構(gòu)的郵件地址，其PUB附件中包含用于下載和執(zhí)行惡意軟件的木馬下載器（被檢測為Backdoor.Win32.RA-based）。

我們觀察到Necurs的所有者正越來越多地使用各種技術(shù)來繞過安全解決方案，并在惡意垃圾郵件中包含非典型擴(kuò)展名的附件，以免引起用戶的懷疑。

1.3 以新iPhone為主題

在第三季度末尾Apple發(fā)布了最新的產(chǎn)品。不出意料地，一波與之有關(guān)的垃圾郵件高潮也出現(xiàn)了。這些垃圾郵件偽裝成來自中國的“公司”，向用戶提供一些Apple的配件或小玩意兒。郵件中的鏈接通常指向一個(gè)新創(chuàng)建的在線商店。不用多說，如果您在這種沒準(zhǔn)兒第二天就沒了的網(wǎng)站上購物，那肯定是錢貨兩空。

伴隨著Apple發(fā)布會(huì)到來的，還有利用Apple（及其服務(wù)）的釣魚攻擊模式的增長，以及攜帶惡意附件的垃圾郵件數(shù)量的增長：

1.4 以違禁藥品為主題的傳統(tǒng)垃圾郵件的新偽裝

垃圾郵件發(fā)送者一直在鍥而不舍地尋找繞過郵件過濾措施和增加垃圾郵件“可交付性”的方法。為了達(dá)成這一目的，他們嘗試制作看起來像是來自于知名公司和服務(wù)的垃圾郵件（不僅是從內(nèi)容上，而且是從技術(shù)上）。例如，他們照搬了銀行等通知服務(wù)的郵件布局，并在顯眼的位置添加真實(shí)的標(biāo)題。

這種典型的釣魚技術(shù)越來越多地被用在“傳統(tǒng)的垃圾郵件”中 – 例如，在那些提供違禁藥品的垃圾郵件中。舉例而言，本季度我們?cè)鴻z測到偽裝成來自大型社交網(wǎng)絡(luò)（包括LinkedIn）的通知的垃圾郵件。我們本以為這些郵件中的虛假鏈接指向的是一個(gè)竊取個(gè)人數(shù)據(jù)的釣魚網(wǎng)站，結(jié)果它是一個(gè)網(wǎng)上藥店。

垃圾郵件發(fā)送者開始使用這種新偽裝的原因是，它們傳統(tǒng)的垃圾郵件類型在很早之前就會(huì)被反垃圾郵件系統(tǒng)給識(shí)別出來和過濾掉。我們預(yù)計(jì)這一趨勢還會(huì)繼續(xù)增強(qiáng)。

1.5 針對(duì)大學(xué)

隨著新學(xué)年的開始，犯罪分子對(duì)獲得大學(xué)網(wǎng)站賬戶的訪問權(quán)限的興趣有所增長。我們觀察到針對(duì)16個(gè)國家的131所大學(xué)的攻擊活動(dòng)。犯罪分子不僅僅想要竊取個(gè)人數(shù)據(jù)，還瞄準(zhǔn)學(xué)術(shù)研究成果。

針對(duì)大學(xué)網(wǎng)站的釣魚登錄頁面

1.6 針對(duì)求職者

為了獲取個(gè)人數(shù)據(jù)，攻擊者還會(huì)利用求職者的努力。這些釣魚頁面上會(huì)提供誘人的工作職位，包括大公司的職位、高額的薪水等等，誘使受害者填寫頁面上的工作申請(qǐng)表格。

1.7 傳播方法

本季度我們繼續(xù)關(guān)注犯罪分子用于分發(fā)網(wǎng)絡(luò)釣魚和其它非法內(nèi)容的方法。但這一次我們還想提請(qǐng)注意那些越來越受歡迎并且被犯罪分子積極利用的方法。

1.7.1 詐騙通知

有些瀏覽器可以讓網(wǎng)站向用戶發(fā)送通知（例如，Chrome中的Push API），這種技術(shù)被犯罪分子注意到了。這種技術(shù)主要是被那些擁有許多第三方網(wǎng)絡(luò)合作伙伴的網(wǎng)站開發(fā)的。借助這種彈出式的通知，用戶們就會(huì)被引誘至“小伙伴”的網(wǎng)站，在那里他們被提示輸入一些，比如說，個(gè)人信息。每引誘一個(gè)用戶，這些網(wǎng)站的所有者就會(huì)得到一個(gè)分成獎(jiǎng)勵(lì)。

默認(rèn)情況下，Chrome要求每一個(gè)單獨(dú)的網(wǎng)站在彈出通知時(shí)都需要申請(qǐng)權(quán)限，而攻擊者為了促使用戶授予這些權(quán)限，會(huì)聲稱如果不點(diǎn)擊允許按鈕，頁面就無法繼續(xù)加載。

許多用戶在授予網(wǎng)站允許彈出通知的權(quán)限后就簡單地忘記了這件事。所以當(dāng)一個(gè)消息彈出在屏幕上時(shí)，他們往往不知道它是從哪兒來的。

通知往往根據(jù)用戶的地理位置進(jìn)行量身定制，并以適當(dāng)?shù)恼Z言顯示

危險(xiǎn)在于，這些通知可能在用戶訪問可信資源時(shí)彈出。這會(huì)誤導(dǎo)受害者信任通知消息的來源：怎么看這個(gè)通知都是來自于當(dāng)前打開的可信資源。舉例而言，用戶可能會(huì)看到關(guān)于轉(zhuǎn)賬信息、有獎(jiǎng)問答或是小贈(zèng)品的“通知”，而它們通常都會(huì)跳轉(zhuǎn)到釣魚網(wǎng)站、在線賭場或是虛假贈(zèng)品及付費(fèi)訂閱的網(wǎng)站。

當(dāng)用戶點(diǎn)擊通知時(shí)打開的網(wǎng)站示例

我們?cè)诒炯径瘸踉?a >報(bào)告過一個(gè)通過點(diǎn)擊通知跳轉(zhuǎn)到在線禮品卡生成器的釣魚活動(dòng)（該釣魚活動(dòng)還可以反向運(yùn)作：通過在線資源提示用戶啟用消息推送通知）。這種生成器聲稱可以為用戶提供各大流行電商的免費(fèi)禮品卡。然而，為了獲得這些免費(fèi)禮品卡，用戶必須要通過特殊的鏈接驗(yàn)證他不是機(jī)器人。隨之，用戶就被重定向至許許多多的第三方合作網(wǎng)站，要么是要求參與有獎(jiǎng)問答，要么是填寫調(diào)查問卷，或者是下載資料，注冊(cè)付費(fèi)短信服務(wù)等等。

1.7.2 新聞媒體

利用媒體資源來分發(fā)欺詐內(nèi)容并不常見，但非常有效。流行加密貨幣交易所WEX遭遇到的故事就是一個(gè)力證。WEX在2017年之前的名字是BTC-E。在2018年8月份，一些虛假的新聞被插入到了俄羅斯媒體“third tier”的專題報(bào)道中，新聞中稱由于內(nèi)部問題，該交易所正在將域名更改為wex.ac:

wex.nz的管理部門很快發(fā)推表示（其推文發(fā)布在該交易所的主頁上），wex.ac只是一個(gè)模仿者，并警告用戶不要轉(zhuǎn)移資金。

但這并沒能阻止詐騙者，他們又發(fā)布了更多虛假新聞，稱該交易所現(xiàn)在遷移到一個(gè)新的域名：wex.sc。

1.7.3 社交網(wǎng)絡(luò)（Instagram）

在詐騙者用于分發(fā)欺詐內(nèi)容的眾多社交媒體平臺(tái)中，Instagram尤其值得一提。犯罪分子直到最近才開始注意到這個(gè)平臺(tái)。在2018年Q3，我們?cè)谠撈脚_(tái)上發(fā)現(xiàn)了多個(gè)假冒的美國國稅局（IRS）賬號(hào)，還有許多假裝成巴西銀行官方賬號(hào)的騙子。

Instagram上的假冒IRS賬號(hào)

詐騙者們不僅自己創(chuàng)建假冒賬號(hào)，還試圖盜取名人的賬號(hào)：在今年八月份，我們觀察到一波Instagram賬戶劫持的高潮。由于一種“賬戶認(rèn)證”的釣魚攻擊，許多賬戶更換了他們的主人– 詐騙者偽裝成Instagram幫助中心的網(wǎng)站，幫助用戶申請(qǐng)賬戶認(rèn)證徽章（就是那個(gè)珍貴的藍(lán)色小勾勾），但要求用戶提供登錄憑據(jù)等信息。

當(dāng)時(shí)Instagram還沒有完善它們的賬戶認(rèn)證功能：由管理員來決定誰來獲得這枚神圣的“徽章”。現(xiàn)在這枚徽章可以直接在賬戶設(shè)置中進(jìn)行申請(qǐng)了。

二、季度統(tǒng)計(jì)：垃圾郵件

2.1 垃圾郵件占全球電子郵件流量中的比例

2018年Q2及Q3，垃圾郵件占全球電子郵件流量中的比例

2018年第三季度垃圾郵件占比的峰值出現(xiàn)在8月份（53.54%）。在全球電子郵件流量中垃圾郵件的平均占比為52.54%，比上一季度增長了2.88個(gè)百分點(diǎn)。

2.2 垃圾郵件來源國家的分布

2018年Q3，垃圾郵件來源國家的分布

2018年第三季度垃圾郵件來源國家的前三名和第二季度一樣：中國排第一（13.47%），美國排第二（10.89%），德國排第三（10.37%）。巴西排第四（6.33%），越南排第五（4.41%）。阿根廷（2.64％）是第十。

2.3 垃圾郵件的大小分布

2018年Q2及Q3，垃圾郵件的大小分布

在2018年第三季度，垃圾郵件中超小型郵件（最多2KB）的份額下降了5.81個(gè)百分點(diǎn)，為73.36%。5-10KB之間的垃圾郵件與第二季度相比略有增長（+0.76個(gè)百分點(diǎn)），達(dá)6.32%。10-20KB之間的垃圾郵件同樣也下降了1.21個(gè)百分點(diǎn)，為2.47%。而20-50KB之間的垃圾郵件份額基本保持不變，僅上升了0.49個(gè)百分點(diǎn)，至3.17%。

2.4 惡意附件：惡意軟件家族的分布

2018年Q3，垃圾郵件中惡意軟件家族的前十名

根據(jù)2018年第三季度的統(tǒng)計(jì)數(shù)據(jù)，惡意流量中最常見的惡意軟件仍然是Exploit.Win32.CVE-2017-11882，其份額與上一季度相比增長了0.76個(gè)百分點(diǎn)，達(dá)11.11%。Backdoor.Win32.Androm同樣有所增長，現(xiàn)在排名第二（7.85%）。Trojan-PSW.Win32.Farei則掉到第三名（5.77%）。第四和第五名分別花落Worm.Win32.WBVB和Backdoor.Java.QRat。

2.5 垃圾郵件目標(biāo)國家的分布

2018年Q3，垃圾郵件目標(biāo)國家的分布

第三季度郵件反病毒系統(tǒng)阻止的威脅中排名前三的國家自年初以來未曾發(fā)生變化：德國排第一（9.83%），俄羅斯排第二（6.61%），英國排第三（6.41%）。后面是意大利（第四，5.76%）和越南（第五，5.53%）。

三、季度統(tǒng)計(jì)：網(wǎng)絡(luò)釣魚

在2018年第三季度，卡巴斯基的反釣魚系統(tǒng)共阻止了137,382,124次將用戶重定向至詐騙網(wǎng)站的嘗試。全球范圍內(nèi)共有12.1%的卡巴斯基用戶遭到攻擊。

3.1 攻擊地理

2018年第三季度遭到釣魚攻擊的用戶比例最高的國家是危地馬拉（比上一季度增長了8.56個(gè)百分點(diǎn)，達(dá)18.97％）。

2018年Q3，釣魚攻擊的地理分布

第二季度的冠軍巴西掉到了第二名，本季度該國家遭到釣魚攻擊的用戶比例是18.62%（實(shí)際上比第二季度還增長了3.11個(gè)百分點(diǎn)）。第三和第四分別是西班牙（17.51％）和委內(nèi)瑞拉（16.75％）。葡萄牙排在第五（16.01%）。

國家	%*
危地馬拉	18.97
巴西	18.62
西班牙	17.51
委內(nèi)瑞拉	16.75
葡萄牙	16.01
中國	15.99
澳大利亞	15.65
巴拿馬	15.33
格魯吉亞	15.10
厄瓜多爾	15.03

*該國家所有卡巴斯基用戶中反釣魚系統(tǒng)被觸發(fā)的比例

3.2 攻擊目標(biāo)（企業(yè)的類別分布）

遭到釣魚攻擊的目標(biāo)企業(yè)的類別分布是根據(jù)用戶計(jì)算機(jī)上的反釣魚系統(tǒng)的觸發(fā)次數(shù)來統(tǒng)計(jì)的。每當(dāng)用戶嘗試打開一個(gè)釣魚頁面時(shí)（可能是點(diǎn)擊了郵件中的鏈接，或者是點(diǎn)擊了社交媒體聊天消息中的鏈接，也可能是惡意軟件活動(dòng)的結(jié)果），反釣魚系統(tǒng)就會(huì)被激活。然后瀏覽器就會(huì)顯示一個(gè)禁止訪問的頁面，警告用戶潛在的威脅。

與上一季度一樣，“全球互聯(lián)網(wǎng)門戶網(wǎng)站”類別的企業(yè)排在攻擊目標(biāo)榜的第一位，其份額為32.27%（增長了7.27個(gè)百分點(diǎn)）。

2018年Q3，遭到釣魚攻擊的企業(yè)類別分布

如果粗略地劃分出一個(gè)“金融”類別，那么唯有這一類別的企業(yè)遭受的釣魚攻擊比全球互聯(lián)網(wǎng)門戶網(wǎng)站類別要多。這個(gè)臨時(shí)的類別占了所有釣魚攻擊的34.67%（下降了1.03個(gè)百分點(diǎn)）：其子類別銀行和支付系統(tǒng)分別占18.26%和9.85%（第二和第三）；只有子類別在線商店（6.56%）略輸給IT公司（6.91%），將第四名拱手相讓。

四、結(jié)論

在2018年第三季度，垃圾郵件平均占全球電子郵件總流量的52.54%，比上一季度增長了2.88個(gè)百分點(diǎn)?？ò退够姆瘁烎~系統(tǒng)共阻止了超過1.37億次將用戶重定向至釣魚網(wǎng)站的嘗試，比上一季度增長了3000萬次。

垃圾郵件發(fā)送者和釣魚攻擊者繼續(xù)利用重大的新聞報(bào)道，本季度中的例子是新iPhone的發(fā)布。同時(shí)，犯罪分子也還在繼續(xù)尋找用于分發(fā)欺詐內(nèi)容的其它渠道。除了Instagram惡意活動(dòng)的一個(gè)高峰之外，我們還發(fā)現(xiàn)了從網(wǎng)站彈出虛假通知以及利用媒體資源散播虛假新聞的惡意活動(dòng)。

還應(yīng)該提及的是利用受害者的真實(shí)個(gè)人數(shù)據(jù)進(jìn)行敲詐勒索的垃圾郵件活動(dòng)擴(kuò)大了它的攻擊范圍。