ASRC2020年第二季度郵件安全觀察

8

創(chuàng)新互聯(lián)公司長期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為太康企業(yè)提供專業(yè)的做網(wǎng)站、成都網(wǎng)站制作，太康網(wǎng)站改版等技術(shù)服務(wù)。擁有10余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。月7日消息 2020年第二季度，全球仍然籠罩在新冠肺炎的疫情中，疫情的影響程度已遠(yuǎn)超第一季度。許多企業(yè)開始采取遠(yuǎn)程居家的辦公模式，以確保公司員工的健康以及特定服務(wù)項(xiàng)目的正常運(yùn)作。工作模式的改變加重了對網(wǎng)絡(luò)的依賴程度，也因?yàn)槿伺c人彼此見不到面，各種詐騙、網(wǎng)絡(luò)安全漏洞就容易被攻擊者所利用。以下簡要分享守內(nèi)安與ASRC研究中心(Asia Spam-message Research Center) 第二季度郵件安全觀察概況。

偽造釣魚郵件較上一季度增加，出現(xiàn)不少偽造企業(yè)管理者發(fā)送的釣魚郵件

本季度偽造企業(yè)組織通知、收貨確認(rèn)通知等釣魚郵件明顯增多，較上季度大約增長了24%，并且集中在六月。其中大多數(shù)是偽造企業(yè)管理者發(fā)送郵件賬號密碼相關(guān)問題的釣魚郵件，會(huì)在收件人點(diǎn)擊鏈接后導(dǎo)向釣魚頁面，這個(gè)釣魚頁面通常寄宿于被入侵的Wordpress網(wǎng)站；其次為假的語音與文件發(fā)送通知，這些通知除了部分寄宿于被入侵的Wordpress網(wǎng)站，部分則是使用免費(fèi)的窗體或網(wǎng)站生成器作為釣魚頁面，還有少量直接夾帶惡意附件；最后是假的貨物運(yùn)送或商業(yè)交易確認(rèn)，部分寄宿于被入侵的Wordpress網(wǎng)站、還有部分則直接將釣魚頁面的HTML放在附件文件內(nèi)試圖避開瀏覽器對網(wǎng)址的警示與檢查，還有一部分則是直接夾帶以rar壓縮后的惡意執(zhí)行文件。

釣魚頁面通常寄宿于被入侵的 Wordpress 網(wǎng)站

病毒郵件數(shù)量明顯增加，夾帶惡意鏡像文件或壓縮格式文件居多

病毒郵件數(shù)量較上一季度增長了約60%，同樣集中在六月。以夾帶惡意.img文件為多，占了總量1/3以上。這些.img文件中包含了一個(gè)惡意.exe可執(zhí)行文件，在Windows環(huán)境下被雙擊后，會(huì)自動(dòng)掛載成為一個(gè)虛擬光盤，便可讀取其中的.exe文件；此外，網(wǎng)絡(luò)上也有人教學(xué)如何以7-zip解出鏡像文件內(nèi)的內(nèi)容，若收到此類惡意攻擊時(shí)缺乏安全意識，而以如何開啟該類文件的目的在網(wǎng)絡(luò)上尋找答案，也可能因此涉險(xiǎn)！

在第二季度，比較特別的是病毒郵件常用的壓縮文件格式分別為.ace與.rar，甚至比Windows內(nèi)能解壓縮的.zip壓縮格式還要多。WinRAR自2015年即對中國個(gè)人用戶開放免費(fèi)，許多中國的PC安裝完成后也會(huì)安裝免費(fèi)的WinRAR作為預(yù)設(shè)的壓縮或解壓縮的工具；但是自CVE-2018-20250、CVE-2018-20251、CVE-2018-20252、CVE-2018-20253被揭露以來，常見的免費(fèi)或可免費(fèi)試用的解壓縮軟件諸如：WinRAR、7-Zip、Peazip等，均已不再支持.ace的解壓縮，.ace的病毒附件會(huì)不會(huì)是刻意面向某些人群？值得玩味。

夾帶 .ace 壓縮文件的病毒郵件仍四處散播

來自新域名的郵件，假藉口罩售賣進(jìn)行詐騙

全球第二季度仍在新冠肺炎的籠罩之中，許多地區(qū)對于口罩的供應(yīng)還是匱乏，第二季度我們發(fā)現(xiàn)有許多口罩銷售的電子郵件，指向一些新注冊的域名。這些域名注冊的時(shí)間都在半年內(nèi)，甚至更短，并且在一段時(shí)間后就無法訪問，極可能是詐騙。這類郵件較上一季度增長了約3.7倍，集中在六月。

口罩銷售的電子郵件，指向一些新注冊的域名

漏洞利用在四月達(dá)到高峰，受國家資助的APT族群利用疫情發(fā)動(dòng)郵件攻擊

附件使用已被揭露的Office漏洞的電子郵件攻擊，在四月份達(dá)到高峰。

受到國家資助支持的APT族群，也在5月頻繁地嘗試以電子郵件發(fā)動(dòng)攻擊，且大多假藉疫情的議題發(fā)送公告通知、口罩相關(guān)信息，或偽冒CDC免費(fèi)分發(fā)防疫物資，要求相關(guān)人員開啟并填寫附件調(diào)查表，藉以誘導(dǎo)收件者開啟惡意附件！

總結(jié)

我們綜合整理了第二季度惡意郵件社交工程特征，其中一大部分是促使人“發(fā)急”，例如：很急的訂單、要求盡快回復(fù)或查看附文件、電子郵件有狀況將被停用、被入侵了等。因?yàn)楹芗保院罄m(xù)的作為就可能脫離原有的標(biāo)準(zhǔn)作業(yè)流程，加上遠(yuǎn)程辦公的因素，再確認(rèn)的工作可能因此變得難以落實(shí)，就很容易落入攻擊者的陷阱。遠(yuǎn)程辦公期間，別忘了“急事緩辦，事緩則圓”，對于任何有疑慮的郵件都應(yīng)當(dāng)給予最小的信任，充分再確認(rèn)才能免除后續(xù)網(wǎng)絡(luò)安全危機(jī)。

【來源：安全牛】

網(wǎng)站名稱：ASRC2020年第二季度郵件安全觀察
鏈接URL：http://www.muchs.cn/article34/cghgpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、自適應(yīng)網(wǎng)站、云服務(wù)器、網(wǎng)站維護(hù)、建站公司、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)