PDF《Email Threats Sample Report》

2012 Email Threats Sample Report www.openfind.com 图3. 假冒电子邮件服务中心的钓鱼页面 连结到其网址后,果然有要输入帐号密码的表格,乍看之下好像要填很多资料,但其实主要只有 email address、password、user name 等等,且在页面中除了此表格外,没有其它的资讯了,与前季 中的钓鱼信件相比,多了许多破绽. 前季中常出现的伪造的 HP 文件通知信,本季发现出现比率有微幅上升,信中的超连结的网页会先秀 出 Please wait a moment. You will be forwarded... 等字样,此时浏览器已在重新导向到 .ru 网域的网 站,导过去后则是广告网站,要离开网站时还会出现 确定要离开吗 之类的浏览器对话框,有些还会 出现两次,等於是强迫增加使用者浏览广告的时间. Q3

2012 Email Threats Sample Report www.openfind.com 图4. 伪造的 HP 文件通知信 上述垃圾信的共通处,就是在骗取使用者点击信里的超连结,以进一步达到打广告、骗取帐密或是发 散恶意软体的目的.此类信件甚至会伪造成商业信件,信中的虽然是要从事商业活动,而且下方还有 保密注意事项,看起来煞有其事,但点击该超连结后,却出现了相当阳春的登入页面,要求输入帐号 密码,输入完帐密后,却被重导向到阿里巴巴的网站首页,受害者此时才会恍然大悟,发现被欺骗. 图5. 恶意的商业邀请信件 Q3

2012 Email Threats Sample Report www.openfind.com 图6. 恶意的商业邀请信件点开连结后的钓鱼页面 常常许多人也会收到色情相关垃圾信件,如下图例便是某一色情网站的广告,较值得注意的是信中超 连结并非如画面中所显示,除了会让受害者点击后连结到其他网站之外,该隐藏连结也是利用其它专 门提供连结路径的网站而设,如http://this-is-a-sample.com/xxxxxxx-yyyyyyyyyy-zzzzzzzzz,只要更 改后面的 xyz 字串,便可改连到其它的页面. 图7. 日本某色情网站 spam Q3

2012 Email Threats Sample Report www.openfind.com 除了和资安议题较相关的垃圾信件外,还有纯粹打广告为主的垃圾信件.在本季中也发现有许多垃圾 信是延续前一季的利用社群网站通知信来发散广告的手法. 图8. 利用 Google+邀请信发送广告 如上图例的 Google+社群邀请信,实际上是马来西亚某一网路商店的广告信,信中夹有广告文以及 其网路商店商品页面的超连结. 下图例中则为利用大陆网路商店的邀请信发送开发票的广告,信中夹带有主要的广告文. Q3

2012 Email Threats Sample Report www.openfind.com 图9. 利用嘀嗒团邀请信发送广告 除了发送广告之外,自然也还是有夹带恶意程式或连结的恶意信件,如下图例中的 LinkedIn 邀请信, 信中的超连结实际上是连至非 LinkedIn 网域的页面. 图10. 利用 LinkedIn 邀请信发送恶意信件 Q3

2012 Email Threats Sample Report www.openfind.com 并利用 JavaScript 作掩护,实则在背后收集使用者电脑的资讯,或下载恶意程式;

这种利用 JavaScript 的手法到今天已是骇客们的常用技巧,使用者若是发现在网页原始码中有出现一长串有规 律格式的乱码,或是点击超连结后浏览器秀出 Please wait a moment. … ,却等了很久都没动静,此 时可能便是误点恶意连结. 图11. 此类恶意连结显而易见的特徵 以往出现过的大陆课程广告信,不外乎是直接秀出广告文字、放置广告文件档、秀出广告网站超连结 等,而这次收集到的则是利用外部图片连结的例子:垃圾邮件发送者将所要广告的文字全部放入图片 中,再将图片放在外部网站图床,当信件开启时便会自动将图片读入、秀出广告,虽然外部图片连结 是很普通的方法,但由於其广告文字多,图片也相对的大,如下图例中的广告图便有 755x6583 像素,也可能在使用者开启信件时对浏览器产生某些影响,而对使用者造成麻烦. 图12. 再度变型的大陆课程广告信 Q3