PDF《Email Threats Analysis Report》

www.

openfind.com

1 Q2

2014 Email Threats Analysis Report Email Threats Analysis Report Q2

2014 www.openfind.com

2 Q2

2014 Email Threats Analysis Report

2014 第二季 Openfind 邮件威胁分析报告 目录

一、全球垃圾信发送来源地区.3

二、URL 内容分类解析

4

三、本季垃圾邮件趋势观察.6

四、垃圾信样本详细说明.6 常见钓鱼信件.6 台湾常见垃圾信.9 中国常见垃圾信.10 日本常见垃圾信.13 www.openfind.com

3 Q2

2014 Email Threats Analysis Report

一、全球垃圾信发送来源地区

2014 年第二季垃圾信来源国家的前三名分别为中国、美国与日本,依序占整体垃圾信的 44.8%、16% 与12.3%.本季冠军中国比例较上一季上升近 7%,而第二名的美国跟上季相比却减少近 15%,显示本 季中国地区的垃圾信影响程度大.第二季出现了今年新进榜的新加坡占有 3.5%.台湾名次与上季相 同,皆为第四名,但比例也明显上升了 3.4%.前四名垃圾信来源国的比例加总后高达总量 80.5%,显 示中国、美国、日本、及台湾本地对於台湾地区的邮件安全影响程度相当重大. 图1.

2014 年第二季垃圾信来源国家分布

3 月份似乎是个有趣的分水岭,本季前三名皆延续

3 月的水准,在本季有稳定的表现.中国的垃圾信 件量延续

3 月份的 45.8%的高比例,在本季本月皆占整体比重的 40%以上,行销攻势似乎没有随著季 节改变而趋缓 , 依 然蓬 勃发展.季 军日本也 有类似的走 势,延续 13.8% 的比例, 在本 季於10.3%~14.3%间摆荡.而亚军美国,在2月份达到 42.4%的高峰之后,延续

3 月份的 15.2%左右的水 准,於本季皆维持在 12%~19%的区间,行销活动趋缓.接下来可密切观察第三季时,是否又会出现其 他的分水岭. 图2.

2014 年中国、美国及日本上半年占比趋势 www.openfind.com

4 Q2

2014 Email Threats Analysis Report 表1.

2014 年第二季垃圾信来源国家比例 国家

4 月5月6月季平均 季排名 中国 47.8% 40.7% 46.5% 44.8%

1 美国 12.0% 19.2% 16.5% 16.0%

2 日本 12.8% 10.3% 14.3% 12.3%

3 台湾 8.3% 8.8% 4.8% 7.4%

4 新加坡 0.9% 5.4% 4.1% 3.5%

5 俄罗斯 2.9% 2.0% 2.0% 2.3%

6 印度 1.3% 1.0% 1.2% 1.2%

7 南韩 1.1% 0.9% 1.0% 1.0%

8 英国 1.8% 0.5% 0.6% 1.0%

9 越南 0.9% 0.8% 0.6% 0.8%

10 其他 10.3% 10.4% 8.3% 9.7% 台湾目前在本季排名位居第四,

4、5 月时,一度冲高至 8.3%~8.8%,其后又恢复於 4% 左右的水平. Openfind 电子邮件威胁实验室会持续观察与监控全球各国垃圾邮件发布状况,掌握威胁趋势,透过云 端防护技术,第一时间有效让 MailGates 的用户免除垃圾邮件困扰.

二、URL 内容分类解析 Openfind 电子邮件威胁实验室与鸿Z科技共同合作,深入观察垃圾邮件内含之 URL 网页内容,并将网 页进行分类,下表为本季网页内容分类状况.最多的网页主题为购物相关类别,显示超过

3 分之

1 的 垃圾邮件网址会导引收件人前往购物相关网页. 图3.

2014 年第二季垃圾信 URL 网页内容分类 www.openfind.com

5 Q2

2014 Email Threats Analysis Report 本季购物类别遥遥领先其他类别占比 38.5%,与第二名商业差距为 25.1%,状况与第一季相去不远. 本季旅游类别上升至第

5 名与新进榜第

8 名求职网站,显示临近暑假与毕业季,有大量的潜在旅游需 求,也有许多就职活动在此时热络发生.Q1 也有进榜的新闻类别本季持续出现,反应垃圾邮件紧扣时 事以便增加点击率的手法趋势,推测第二季末世足赛议题也成为新闻垃圾邮件占比提高的主因之一, Openfind 提醒各用户加装可防带有新闻特徵的邮件 DNA 鉴识分析机制,以达最佳过滤效果. 表2.

2014 第二季与

2014 年第一季 URL 网页内容分类比较

2014 第一季

2014 第二季 排名 类别 比例 类别 比例

1 购物 38.4% 购物 38.5%

2 商业 12.6% 商业 13.4%

3 资讯科技 9.8% 资讯科技 10.9%

4 投资理财 5.8% 投资理财 7.0%

5 线上财务管理 4.9% 旅游 4.3%

6 旅游 3.9% 娱乐 3.9%

7 娱乐 3.2% 搜寻引擎 3.3%

8 教育 2.9% 求职网站 3.2%

9 新闻 2.9% 教育 2.8%

10 搜寻引擎 2.8% 新闻 2.6% 观察

2014 第二季与第一季 URL 网页内容,可发现两季前十大排名主题几乎完全相同,线上财务管理 类别与求职网站类别一退一进,而线上社群服务类别延续前

2 季退烧现象於前季退出榜外后,本季仍 未进榜.近期若要著手处理垃圾邮件防护过滤困扰时,仍建议先从购物、商业及资讯科技相关议题进 行处理,设定特殊关键字或进行相关样本训练,可有效预防大多数垃圾邮件问题.Openfind 电子邮件 威胁实验室将持续研究垃圾邮件网页分类趋势,以期达成对症下药,有效屏除垃圾邮件所带来的种种 威胁. www.openfind.com

6 Q2

2014 Email Threats Analysis Report

三、本季垃圾邮件趋势观察 1. APT 攻击第一步:骗取目标系统的使用者帐密 APT 攻击的常见手法就是在邮件内容的编写上利用社交工程攻击或是应用收件人关心的议题,激发收 件人的点击好奇心.而在邮件格式的呈现则会利用附档、超连结、及含有表格的外部网页等元素制作 恶意邮件.当收件人跟随邮件内容指示下意识在陌生网页中填入自己的帐号、密码、或是 Email Address 时,也代表骇客已经完成 APT 攻击侵蚀的第一步. 2. 知名品牌常成为被伪冒的标题 从国人常使用的社群网站、分享连结方便的影音网站、即时通讯服务,到非常普遍的 APP 下载商店 等,当庞大的使用者们逐渐习惯了这些系统不定期所发出的通知信模式后,上述知名品牌的名号,开 始被有心人士伪冒,进而完成了唯妙唯肖的钓鱼邮件.收件人可先确认自己是否曾以此帐号在该类网 站注册,且通知信的语句是否通顺,如果企业管理单位担心人为疏失点选的话,建议可导入邮件过滤 服务与外部网页风险提示等资安防护,强化邮件沟通安全. 3. 多数广告信件具有相似文本特徵 长期观察一地区的广告信件,除了发现有类别集中的现象之外,也观察到不同时间发送的广告邮件也 常具有类似语句或词藻的文本特徵,由於无法确实掌握每一封信会出现的词汇,这样的特徵难以用传 统的关键字侦测,而是应该把目光放远,将整封信的文本特徵取出,利用特殊的全文杂凑函数进行完 整比对,相似度高者,极有可能为会造成收件人困扰的广告邮件.

四、垃圾信样本详细说明 以下我们将介绍并说明在本季中收集到的钓鱼信件案例,以及台湾地区、中国地区和日本地区等具代 表性的垃圾信样本. 常见钓鱼信件 本季中收集到的钓鱼信件中,仍有许多例子是内文语法不顺的,如下这一例伪冒成 Mail2000 通知信的 钓鱼信: 图4. 伪冒 Mail2000 名义的钓鱼信例 www.openfind.com

7 Q2

2014 Email Threats Analysis Report 除了语法不顺外,可注意到信中超连结的网域看起来也有问题,虽然其中有 mail2000 字样,但是实际 上domain 是yolasite.com,若是直接连到 yolasite.com 则会被转址到 yola.com,它是一个提供使用者免 费/付费放置网页服务的网站,和Mail2000 基本上没有关系.接著尝试打开超连结: 图5. 钓鱼信连结所引导至的伪造网页 点开其超连结后,发现页面非常阳春,只有 Mail2000 字样和简单的输入栏,其它几乎什麽都没有. 接著尝试作登入动作试试看: 图6. 尝试於钓鱼网页输入任意帐密 www.openfind.com

8 Q2

2014 Email Threats Analysis Report 图7. 在钓鱼网页键入帐密后的情况 发现登入完后,只秀出了一个简单的讯息,没有导到正常的 Mail2000 页面.接著检查原始码,看到其 中form 的action 所指定的位址: 应是 yola.com 本身接收 form submit 资讯的 cgi,也就是说,该钓鱼信发送者利用第三方网站提供的免 费建置网页功能,建立骗取帐密用的网页,以及其本身的 cgi 用来收集被害者的资讯,且因其未指向 其它 host 的cgi 做处理,减少了能被外界沿线追查与分析的资讯,藉此了解这样的免费网页网站,对 一般人来说是能方便建置网页的工具,对钓鱼信业者来说更是回避被资安业者分析的好帮手. 图8. 伪造成 Apple 通知信的钓鱼信 如图,本季中也收集到伪造成 Apple 通知信的钓鱼信,此封信件乍看之下似乎是真正的通知信,但仔 细观察信中的超连结: http://appleid-apple-com-cgi-bin-myappleid-woa.clickne........