PDF《Email Threats Analysis Report》

www.

openfind.com

1 Q3

2014 Email Threats Analysis Report Email Threats Analysis Report Q3

2014 www.openfind.com

2 Q3

2014 Email Threats Analysis Report

2014 第三季 Openfind 邮件威胁分析报告 目录

一、全球垃圾信发送来源地区.3

二、URL 内容分类解析

4

三、本季垃圾邮件趋势观察.6

四、垃圾信样本收集介绍.6 资安相关信件样本.6 台湾垃圾信样本.7 中国垃圾信样本.11 日本垃圾信样本.12 www.openfind.com

3 Q3

2014 Email Threats Analysis Report

一、全球垃圾信发送来源地区

2014 年第三季垃圾信来源国家的前三名分别为中国、美国与台湾,依序占整体垃圾信的 54.6%、 13.2%与8.3%.在本季中,台湾超越了日本成为了第三名,与上季相比,小幅上升 0.9%.本年新进榜 德国占有 1% 而於 Q2 掉出十名外的巴西本季以 0.8% 列入第十名.值得注意的是,本季前四名即占了 垃圾信总量的

8 成以上,显示中国、美国、台湾与日本对於台湾地区的邮件安全影响非常重大. 图1.

2014 年第三季垃圾信来源国家分布 延续上一季发现三月是属於中国、美国、及日本地区持续走势的分水岭,本季观察到八月是个反弹月 份,中国的比例在八月达到本年度新高后,於九月下降.而美国与日本则在达到今年度新低之后,於 九月上扬.这样的情形是否会延续到第四季,值得密切观察. 图2.

2014 年中国、美国及日本前三季占比趋势 www.openfind.com

4 Q3

2014 Email Threats Analysis Report 表1.

2014 年第三季垃圾信来源国家比例 国家

7 月8月9月季平均 季排名 中国 55.0% 59.4% 49.0% 54.6%

1 美国 14.3% 8.8% 16.9% 13.2%

2 台湾 6.7% 9.1% 8.8% 8.3%

3 日本 9.5% 6.3% 7.5% 7.7%

4 俄罗斯 1.9% 1.9% 2.1% 1.9%

5 印度 1.1% 1.5% 1.4% 1.3%

6 新加坡 0.3% 1.4% 1.7% 1.2%

7 德国 0.8% 1.0% 1.2% 1.0%

8 南韩 1.1% 0.8% 0.6% 0.8%

9 巴西 0.6% 0.6% 1.1% 0.8%

10 其他 8.8% 9.2% 9.7% 9.3% 台湾目前在本季排名位居第三,垃圾邮件来源比例虽一度达 9.1%,与前季相比并无明显上升许多,本 季会与日本交换名次主因为日本自身的垃圾信件量比例降低,从过去平均皆超过 10%降至 7.7%(季平 均).Openfind 电子邮件威胁实验室会持续观察与监控全球各国垃圾邮件发布状况,掌握威胁趋势, 透过云端防护技术,第一时间有效让 MailGates 的用户免除垃圾邮件困扰.

二、URL 内容分类解析 Openfind 电子邮件威胁实验室与鸿Z科技共同合作,深入观察垃圾邮件内含之 URL 网页内容,并将网 页进行分类,下表为本季网页内容分类状况.最多的网页主题为购物相关类别,显示近一半的垃圾邮 件网址会导引收件人前往购物相关网页. 图3.

2014 年第三季垃圾信 URL 网页内容分类 www.openfind.com

5 Q3

2014 Email Threats Analysis Report 本季购物类别遥遥领先其他类别占比 48.6%,与第二名商业具有显著差距为 37.7%,可能因应近日百 货公司或商城持续推出周年庆等优惠服务相关.本季前

10 名垃圾信 URL 种类与上一季完全相同,顺 序稍作改变而已.前十名的类别中,多数与金流相关,包含:商业、购物、及投资理财.此外,持续 在榜上的新闻类别,反应垃圾邮件紧扣时事以便增加点击率的手法趋势. 表2.

2014 第三季与第二季 URL 网页内容分类比较

2014 第三季

2014 年第二季 排名 类别 比例 类别 比例

1 购物 48.6% 购物 38.5%

2 商业 10.9% 商业 13.4%

3 资讯科技 7.0% 资讯科技 10.9%

4 投资理财 5.6% 投资理财 7.0%

5 旅游 3.9% 旅游 4.3%

6 娱乐 3.5% 娱乐 3.9%

7 教育 2.9% 搜寻引擎 3.3%

8 求职网站 2.9% 求职网站 3.2%

9 搜寻引擎 2.5% 教育 2.8%

10 新闻 2.4% 新闻 2.6% 观察

2014 第三季与第二季的 URL 网页内容,可发现两季前十大排名主题完全相同,前几季有进榜的 线上财务管理及线上社群服务目前皆无进榜,反倒去年进榜次数较少的求职网站类别於这两季都有进 入前十,显示人力市场的热络气氛.近期若要著手处理垃圾邮件防护过滤困扰时,仍建议先从购物、 商业及资讯科技相关议题进行处理,设定特殊关键字或进行相关样本训练,可有效预防大多数垃圾邮 件问题.Openfind 电子邮件威胁实验室将持续研究垃圾邮件网页分类趋势,以期达成对症下药,有效 屏除垃圾邮件所带来的种种威胁. www.openfind.com

6 Q3

2014 Email Threats Analysis Report

三、本季垃圾邮件趋势观察 1. 针对性攻击,利用收件人熟知的专有名词消除警戒心 传统的垃圾信发送模式,偏向无目标的大量发送垃圾邮件给不同收件人,广告业者可能会期待一 小部分的收件人因为内文被吸引而点选连结或附档,进而达成广告邮件发送目的.而在近期的异 常邮件发送手法当中,越来越常发现针对性的攻击,发送者不再进行狂洒邮件的行为,改以寄发 针对目标量身打造的邮件内容,夹带收件人熟知的人物、服务、或事件等专有名词,让收件人不 疑有他的开启邮件. 2. 垃圾邮件导引至具有表格的可疑网页 目前有相当多的垃圾邮件会在信件内文附带外部网页连结,而根鄄旆⑾,有满高的比例会导 引至可能潜藏风险的未知网页,其中更有一些具有表格的网页会要求访客填写姓名、EMAIL 及电 话等联络方式或注册帐号,Openfind 电子邮件威胁实验室建议读者小心,避免在不明来源的网页 上填入个人重要资料,以免遭受有心人士利用. 3. 只有图片而无文字的垃圾信件 目前广泛被使用的垃圾信过滤机制之一为建立黑名单关键字,但是这个机制对於只有图片而无文 字的垃圾信件来说不一定有良好的过滤效果.通常这样的邮件会插入一个类似 e-DM 的图档,从视 觉上看来仍然是图文并茂,但是在邮件内文方面,却没有文字内容,也是近期常看到的垃圾邮件 发送手法.建议应用 MailGates 最新版本 4.0 SP2 的全新垃圾邮件过滤机制,使用完整的邮件内容 来判断,以强化此类邮件的过滤效能.

四、垃圾信样本收集介绍 以下我们将介绍并说明在本季中收集到的钓鱼信件案例,以及台湾地区、中国地区和日本地区等具代 表性的垃圾信样本. 资安相关信件样本 本次收集到一封 APT 信件例: 图4. APT 信件例 www.openfind.com

7 Q3

2014 Email Threats Analysis Report 打开信件查看,看起来只是普通商业往来书信,但是当案例中的收信者打开信件时,发觉从未与该寄 件者接触过,且信件中没有类似一般商务人士寄信时会留的签名档,更没有其它联络方式,接著尝试 使用 Mail2000 的附档预览功能预览档案,或是使用 Google mail 的云端转档都无法开启附档时,收信 者便有警觉到这个信件可能有问题,没有在本机端尝试打开附档,便回报给相关人员作处理. 接著查看该封信件本身,寄件者使用 google 信箱来寄信,因此该邮件帐号应是骇客建立来作为攻击之 用的,内文则没有其它可再追查的地方,於是再接著看附档本身: 图5. APT 信件中的附档打开后的画面 使用测试机来观察该附档,附档名称为培训计画,体积有 137KB,但是打开附档后,内容却是一片空 白,但它可能已经在背后埋了后门,待某个时机才会动作;

面对这种情形,一般使用者无法查觉,也 无法进一步的修复,因此建议使用者,当遇到类似情境时,一定要提高警觉,若是觉得档案有问题, 便不要冒险开启,交与相关人员处理即可. 台湾垃圾信样本 图6. 金融借贷广告信 www.openfind.com

8 Q3

2014 Email Threats Analysis Report 上封信件样本内容看起来基本上是普通的借贷广告信,接著查看信中的超连结,看起来似乎非正常的 网址,不知能否有效连结到广告页面,因此接著对该网址作测试. 连结测试过程如下: http://万.缩.jp/ 在连结时转码成: http://xn--chqv55c.xn--jj0a.jp/ 连结后转址到: http://yimg.yimg7.com/loanexpress/ 图7. 金融借贷广告信网址连结页面 测试后看来实际上是可连结的有效 url.接著到该网址的 domain 查看: 图8. 缩址服务网站 进入后是缩址服务网站,有趣的是用的网址是有非英数字的网址,而且就汉字使用者而言,还很符合 网站宗旨,让人印象深刻. www.openfind.com

9 Q3

2014 Email Threats Analysis Report 金融类广告信除了借贷外,另一类就是投资了,如以往常见的「在家工作月入数十万」系列、「喝咖 啡赚钱」系列等,这一季也收集到了一个例子: 图9. 比特币投资讲座广告信 随著比特币(Bitcoin)这类电子货币越来越有名,许多人对它也越有兴趣,自然有相关的金融活动出 现,而到了现在终於有广告信出现了,表示它也成为了广告主认为值得投资的项目,相信随著比特币 的发展,这类广告信也会增多吧. 图10. 滤水器广告信 跟非物品类的广告信相比,物品类广告信种类相对多很多,吃的穿的用的、由小到大都有,例如上面 的滤水器广告信例,点选信内连结后,显示如下网址. www.openfind.com

10 Q3

2014 Email Threats Analysis Report 图11. 滤水器广告页面之一 图12. 滤水器广告页面之二 值得注意的是,开启信中超连结的广告页面后,发现有如上的连络表格,强烈建议使用者看到类似的 情形,都不可留下任何资讯,以免个资外泄给广告业者,造成往后更多不必要的麻烦. 除了以上一般 B2C 广告信,B2B 广告信相对少得很多,而这次收集到了一例: www.openfind.com

11 Q3

2014 Email Threats Analysis Report 图13. 大型装置广告信 如图,为节电装置广告信,虽然看似普通,但这类广告物由於和营运单位的建置、维运有关,又是大 型机具,一般人不会有兴趣,如此一来所需广告的对象针对性便比一般广告信来的重,若是没有好的 收件者名单,发广告信的效益会比一般广告信来的低,因此算是不常见的邮件例. 中国垃圾信样本 和往常一样,简体中文广告信种类的比例仍然没有多大的改变,像是商城广告信、商务课程广告信、 代开发票广告信等,例如: 图14. 简体中文发票广告信 www.openfind.com

12 Q3

2014 Email Threats Analysis Report 如图,可看到这封广告信里只使用图片来打广告,使用者只要打开信件,便可直接看到图片,除此之 外,没有其它文字的资讯,在技术上会比纯文字的广告信要来难得拦截. 图15. 简体中文简讯广告信 如上图的简讯(中国大陆称短信)广告信,也算是 B2B 广告信,不过简讯服务和营运用器材相比,会是 较多人会使用到的服务,在寄送广告信的效益上,也比贩卖器材类的来得多,因此这类广告信数量不 少. 日本垃圾信样本 在日文广告信方面,常见的都是博弈类广告信、优惠诈骗信及色情广告信等,不过本季中收集到较少 见的商城广告信: 图16. 日文商城广告信之一 www.openfind.com

13 Q3

2014 Email Threats Analysis Report 图17. 日文商城广告信之二 如图,看起来是普通的商城广告信,还有附 email 和商城的超连结. 图18. 日文商城广告信的超连结页面之一 www.openfind.com

14 Q3

2014 Email Threats Analysis Report 图19. 日文商城广告信的超连结页面之二 点开超连结后,看起来是一般网路商城,不过再继续点商品页,发现都是中国的商品,接著继续查 看,发现原来是淘宝的代理,猜想是为了在日本扩展通路而设吧. 日文广告信中常见的成人广告信,基本上都是约会交友、聊天室类型的,不过这次收集到以往少见的 药物广告信: 图20. 日文药物广告信 如上图,和绝大部分广告信一样,信中只有简陋文字和超连结,接著检查超连结: www.openfind.com

15 Q3

2014 Email Threats Analysis Report 图21. 日文药物广告信超连结页面之一 图22. 日文药物广告信超连结页面之二 虽然页面内容看起来还算正常,跟普通网站一样,但从网站 Banner 上看到「不用处方签、诊断书」字样,还是得提高警觉,以免惹祸上身. Openfind 电子邮件威胁实验室,特别从

2014 年第三季的电子邮件威胁监控行动中,挑选出这些值得您 一览的电子邮件威胁样本供您参考,同时这些类型邮件都已经透过 Openfind 的云端防护拦截技术,在 发现威胁的下一秒,即已全面部署至 MailGates 邮件防护系统,以零时差、立即生效的特性,协助全 球客户立即免除以上邮件威胁. www.openfind.com

16 Q3

2014 Email Threats Analysis Report 关於 MailGates 邮件防护系统 MailGates 邮件防护系统提供即时完整的邮件安全服务,充分掌握电子邮件相关之各项攻击与威胁行 为,提供内嵌式防毒功能,自动侦测并过滤各式垃圾邮件,有效解恼人的网路攻击与邮件资安问题, 为用户提供完善邮件防护.具备双核心云端防护过滤引擎,以在地化样本观察与全球即时探测的零时 差防御技术,全方位掌握垃圾邮件特徵.结合垃圾邮件拦截、企业邮件系统防护、收发纪录检视及统 计报表发送等多项贴心功能,并率先同业支援 IPv6,全面提升产品相容性.MailGates 邮件防护系统将 持续钻研邮件资安领域,协助企业打造最安全、顺畅、可靠的邮件沟通管道.更多产品讯息,................